Salt Security 聯合創始人兼首席執行官 Roey Eliyahu 和 TAG Cyber?? 創始人兼首席執行官 Ed Amoroso 最近聚在一起,共同舉辦了一場有關 API 安全和零信任的網絡研討會。當行業專家討論網絡安全領域最熱門的兩個話題時,一定會收獲頗豐 — — 這次也不例外。
在 90 年代和 21 世紀初期,組織依賴于邊界保護,利用身份驗證來促進邊界內不受阻礙的用戶訪問。隨著混合環境的興起和云的增長,這些類型的保護變得過時 — — 導致了“零信任”架構的興起。
Ed 將“零信任”定義為邊界被解除時發生的一種情況——它幾乎涵蓋了當今混合架構中的所有內容。由于現在幾乎可以從任何點訪問資源,因此無法劃定邊界。零信任主張構建“受信任”的環境來托管以最低特權訪問運行的應用程序、系統和數據。
絕大多數組織都希望采用某種形式的零信任——我們在一次快速網絡研討會調查中通過以下問題輕松驗證了這一事實:
換句話說,只有 1% 的受訪者表示,他們在架構中完全沒有考慮零信任!鑒于零信任對安全計劃的巨大影響,組織還必須了解其在 API 安全方面的弱點。
許多 API 風險無法通過零信任來緩解。由于 API 需要訪問功能,因此零信任方法在 API 安全性方面存在問題。以下是 Roey 和 Ed 討論的三個示例,說明了零信任方法在保護 API 方面存在不足:
隨著數字化轉型計劃的不斷增加,API 的使用量呈爆炸式增長。API 專門用于跨應用程序共享數據和服務。我們組織中流入和流出的大部分數據都運行在 API 上。事實上,正如 Roey 在網絡研討會上所說,83% 的互聯網流量是 API 流量!
由于 API 可以支持您的所有應用程序,因此 API 對于實現業務價值至關重要。在線電子商務應用程序中使用的 API 可讓您購買所售商品。金融科技 API 可讓您根據需要從銀行賬戶轉入和轉出資金。為了開展數字業務,組織不能拒絕這些 API,否則他們將無事可做。
由于 API 的開發和部署速度非常快,而且更改非常頻繁,因此不可能手動跟蹤所有 API。
在我們的第三季度 API 安全狀況報告中,我們發現“影子”或未知 API 以及“僵尸”或過時 API 給組織帶來了巨大擔憂。42% 的組織表示,他們最大的 API 安全擔憂是過時的 API。事實上,在 Salt Security 進行的過去四次調查中,過時的 API 一直被列為頭號 API 安全問題。
這些未知且不安全的 API 可能會被暴露,而組織甚至不知道!無論您采用哪種安全措施,如果您不知道資產存在,就無法應用安全性!
許多 API 安全事件都是在按照設計使用 API 時發生的。例如,攻擊者可以使用社交工程技術獲取授權用戶的密鑰或憑據,從而進行攻擊。在這種情況下,即使每個用戶都經過零信任身份驗證,也無濟于事。
最近的 Twitter API 密鑰和Peloton事件提供了濫用 API 的示例,這些 API 旨在泄露數據和未經授權的訪問。API 的合法使用可讓攻擊者訪問受限制的數據,如OWASP API3:過度數據暴露中所述。
Roey 和 Ed 認為,API 安全性和零信任之間可能存在很多混淆。現實情況是,即使采用良好的零信任策略,某些 API 安全風險也無法通過零信任來緩解。
文章來源:3 Top Takeaways on API Security and Zero Trust