API和Web安全越来越难

我们如今生活在一个与以往完全不一样的技术世界。变化的速度实在太快，企业往往发现自己又落后了，面对的安全压力远不是几年前可比的。这事儿不能怪任何人，但我们所用的传统工具确实经常是制造的问题比解决的多。

现代去中心化企业的出现，要求采取先进、整合的方法来确保Web应用和API安全。但正如企业战略集团(ESG)新近推出的客户调查报告所昭示的，安全方法的转变并不容易。事实上，通过对北美、欧洲和亚太地区及日本的500家企业进行问卷调查，ESG发现，企业现代化快速铺开，安全却落下了。

四分之三的受访企业采用至少五款Web应用和API工具，而且很多企业使用的此类工具远不止这个数。平均而言，受访企业在Web应用和API安全方面每年要在11款不同工具上花费260万美元。然而，很遗憾，这不过是浪费金钱而已。

工具膨胀

企业使用那么多工具是寄希望于多款工具可以买来加强版安全防护。可惜，结果往往事与愿违。企业不仅难以在应用和安全所有者之间充分协调各项任务，还面临缺乏API保护、可见性差和难以跨多个工具关联数据的问题。

ESG调查研究报告中的重要数据：

• 受访企业报告称，自家Web应用和API安全工具平均每天发出53个警报。
• 近半数警报都是误报，90%的受访企业认为这是个问题。
• 75%的受访企业在误报上花费的时间等于或多于处理实际攻击的时间。
• 82%的受访企业在上一年被Web应用和API攻击成功侵害。
• 64%的受访企业希望绝大多数或全部应用都使用API，但也越来越担心瞄准这些端点的漏洞、恶意软件和数据渗漏。

这并不意味着放弃进步，而是提醒我们需要修正进步路线。

漫漫曲折路

Web应用和API安全问题不是一天造成的。企业添加了一系列安全工具，本是为了更好地保护自己的Web应用程序和API。但在很多情况下，这种老旧工具现在通常被视为技术债务。

现代安全工具必须有效整合进现代技术栈里，并与DevOps工具链中其他工具配合，才能实现公司里任何人都能利用所产生的数据，体现出安全产品真正的价值。

以往，安全团队利用影响力单方面减缓或停止他们认为并非万无一失的项目。如今在更为复杂的组织环境中运作，他们就只是要求在产品推出前确保全面审查过各项安全考虑了。

现代企业中，不同团队纷纷将自己的基础设施旋上云、Kubernetes、无服务器或边缘环境。这一新情况要求你必须能够将安全技术嵌入整合了一系列计算方法的架构。如今，安全栈必须插入公司Slack、Teams和SIEM应用，这样技术部门才能够自行获得工具价值而无需全面了解工具详情。

重新思考工具策略

企业正走在数字化转型路上，很快就不得不应对这一问题。随着新技术的引入，转变速度呈指数级增长态势。而且速度不会放缓。

安全需要存在于应用和API所在的任何地方，且企业不能依赖无法适应中心化架构的老旧工具。现代世界，你应该保护好API和应用，无论它们是在云端还是在边缘。

从业者需要整合进开发工具链的技术。架构不仅要能够兼容所有老旧应用，还要能够容纳公司里其他更为先进的API和应用。别以为能够依靠仅符合当代开发计划的架构凑合。想要顺利数字化转型，就必须采用能够适应公司发展的架构。

最重要的是，成功实施数字化转型的企业发现，安全应引领转型而非试图拖慢转型。