在 API 安全漏洞的烏云中,也有一線希望。事實上,企業(yè)并非束手無策。與標(biāo)準(zhǔn) Web 應(yīng)用程序一樣,當(dāng)攻擊者試圖利用這些漏洞時,可以采取很多措施來預(yù)防或至少將影響降至最低。作為 CISO,組織內(nèi)外的其他人都希望您采取適當(dāng)?shù)拇胧﹣泶_保一切順利。
有助于發(fā)現(xiàn)漏洞并最大限度地減少整個企業(yè)的 API 攻擊面的解決方案包括:
API 安全測試工具——靜態(tài)應(yīng)用程序安全測試(SAST)、動態(tài)應(yīng)用程序安全測試(DAST)和交互式應(yīng)用程序安全測試(IAST),諸如 Web 漏洞掃描程序之類的工具,特別是那些具有專門 API 測試功能的工具,通常可以比單獨的手動測試發(fā)現(xiàn)更多更好的 API 相關(guān)漏洞。
API 安全網(wǎng)關(guān)——客戶端端點和后端 API 服務(wù)之間的中介,也可以監(jiān)控和記錄 API 交易并對潛在威脅發(fā)出警報。
Web 應(yīng)用程序防火墻 (WAF) – 在應(yīng)用程序?qū)樱∣SI 模型的第 7 層)工作的控制,查找并阻止特定應(yīng)用程序和 API 漏洞。
重要的是進(jìn)行適當(dāng)且持續(xù)的網(wǎng)絡(luò)安全評估,以便確認(rèn)這些挑戰(zhàn),即使不能完全解決,至少也能部分緩解。您無法保護(hù)您不承認(rèn)的東西,因此充分了解應(yīng)用程序和 API 環(huán)境的風(fēng)險級別是關(guān)鍵。
推進(jìn) API 安全
在安全測試和監(jiān)督方面,API 經(jīng)常被忽視。這種疏忽有時發(fā)生在漏洞和滲透測試的范圍界定階段。進(jìn)行測試的一方或系統(tǒng)所有者根本沒有考慮已發(fā)布的 API 是否存在。一些開發(fā)和安全團(tuán)隊未能將 Web API 納入其安全標(biāo)準(zhǔn)的同一保護(hù)范圍。另一種情況是,執(zhí)行了 Web API 安全測試,但沒有使用正確的工具從所有適當(dāng)?shù)慕嵌葘ζ溥M(jìn)行正確測試。不過,其他時候,人們認(rèn)為可以完全跳過 Web API,因為它們的可見性不高或在攻擊面或價值方面沒有提供太多幫助。最糟糕的情況是,當(dāng) API 沒有作為組織整體安全計劃的一部分得到充分監(jiān)控時。當(dāng)漏洞發(fā)生時,沒有人知道。這些都是危險的方法,顯然會導(dǎo)致不良事件。
隨著 API 在整個企業(yè)中越來越普及,將它們納入持續(xù)的安全討論中非常重要。有太多事情可能發(fā)生,而且損失實在太大。主動威脅建模和安全標(biāo)準(zhǔn)應(yīng)該像適用于其他 Web 應(yīng)用程序組件一樣適用于 API。諸如OWASP API 安全項目之類的標(biāo)準(zhǔn)應(yīng)該集成到您的開發(fā)生命周期中。主動安全測試和系統(tǒng)監(jiān)控與警報也是如此 – 貫穿整個應(yīng)用程序的生命周期。如果存在 API,則需要將其納入監(jiān)督和審查范圍。其他任何事情可能都不夠,可能只會助長您迄今為止投入了大量時間、金錢和精力來防止的漏洞。作為您組織的安全負(fù)責(zé)人,請立即按照您的條件采取行動,以免被迫按照他人的條件采取行動。
