2024 年 API 安全：预测和趋势

随着技术以前所未有的速度不断进步，API（应用程序编程接口）安全性的复杂性也随之增加。随着 API 在现代应用程序和服务中的激增，组织将需要更好地了解其
API 环境以及 API 给运营带来的风险。

到 2024 年，预计几个关键趋势和预测将塑造 API 安全格局 ：

1. API安全市场创新将加速

2023年，针对企业的API攻击显着增加，表明该攻击面的脆弱性。API 安全市场目前还处于早期阶段，但随着 API
安全逐渐提上业务议程，我们预计该领域将出现重大创新。

敏捷网络安全供应商将在 2024 年专注于构建可提供 API
攻击面可见性的解决方案。我们可能会看到多个提供专用解决方案的新供应商以及扩大其产品组合的传统供应商。

2. 不断演变的API安全攻击

虽然用于识别网络漏洞的端口扫描等方法不太可能消失，但我们预计明年有针对性的应用程序级攻击的数量将会上升。

恶意行为者将通过开设账户或使用应用程序渗透系统并破坏应用程序行为来攻击特定的银行或金融机构。黑客知道大多数组织都有网络级安全解决方案，导致 API
暴露并容易受到攻击。

随着黑客获取授权用户访问的方式变得更加复杂，传统的外围防御已不足以保护 API。组织需要优先考虑外围防御，持续监控 API 流量以检测可疑的用户行为。

3. 超越周界防御：周界内威胁检测的兴起

API 的快速变化意味着组织将始终存在需要修复的漏洞。因此，2024 年将迎来一个新时代，可见性将成为 API 安全策略的优先事项。

防止攻击者进入外围并不是 100% 万无一失的策略。而对安全环境的实时可见性将使安全团队能够快速响应，在威胁影响运营或提取有价值的数据之前消除威胁。

例如，传统的基于边界的解决方案仅监视请求而不监视响应。如果攻击者冒充客户，他们的请求将显示为合法。可见性可以通过多层安全方法来实现，包括外围和外围防御。随着黑客寻找创新方法来保持不被传统解决方案检测到，API
的完全保真度对于隔离未知攻击至关重要。

4. API治理将变得更加关键

API治理将成为API安全的基石。

尽管企业采用 API 来实现新服务交付或提高效率，但由于治理程序不发达，组织仍面临对其数字资产缺乏可见性的困扰。强大的 API 安全策略要求 CISO
与应用程序开发团队合作构建 API 治理流程和结构。

为了识别攻击或补救事件，CISO 及其团队必须了解其 API 环境和现有漏洞。需要建立流程来增强有效的跨学科协作、实现 API
发现，并为酒店的运营方式制定基本政策和标准。

最终，强大的 API 治理应该将发现结果转化为有价值的 KPI 和指标，组织可以使用它们来评估安全状况的进展。

5. 监管数据隐私推动了对自我管理解决方案的需求

随着 API 的广泛使用，特别是在金融服务等领域，监管机构正在寻求鼓励 API 的透明度。这意味着数据隐私问题和法规将在 2024 年继续影响 API
使用。为此，组织越来越厌倦让第三方持有和访问其数据以进行安全分析。

我们预计到 2024
年会发生转变，组织将要求在自己的环境中本地运行安全解决方案。自我管理的解决方案（本地或私有云）无需在存储数据之前对其进行过滤、编辑和匿名化。这一转变将帮助组织保持对敏感数据的控制并满足合规性要求。

6. API安全中安全数据湖的兴起

API 安全解决方案必须具有可扩展性，才能适应小型和大型组织的需求。到 2024
年，我们预计将看到经过验证的数据湖技术的采用。该技术使数据能够存储在以安全为中心的模式中，并通过标准 SQL
查询进行访问。组织可以设置数据保留策略，以平衡可访问性与资源利用率和成本。

7. 更多自动化和集成度

预计到 2024 年，自动化将在 API
安全解决方案中发挥更大的作用。API安全解决方案将提供自动化功能，用于构建自定义威胁检测和警报规则，促进实时威胁检测和响应。与
SIEM 和
SOAR 解决方案的集成将变得更加无缝，从而实现快速的事件响应。

随着攻击者不断发展，组织必须通过实施先进的边界内威胁检测、上下文丰富的警报和攻击面管理来适应不断变化的威胁形势。这些趋势，加上对本地解决方案、可扩展性和自动化的关注，将帮助组织在未来几年应对
API 安全挑战。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。