AI驅動SEO排名優化使工作更省力
如果未能認真對待 API 安全性(尤其是在設計和部署期間),則 API 優先軟件開發的優勢很容易受到破壞。從最基本的層面上講,API 越多,攻擊面就越大。雖然 API 在現代軟件開發中發揮著至關重要的作用,但同時也變得越來越容易被利用。
2018 年,Gartner 預測,到 2022 年,API 將成為應用程序最常見的攻擊媒介。如果非要說的話,他們對延遲時間的預測過于樂觀了。影響數百萬用戶的大型公司 API 泄??露事件早已發生,而且只會變得更加普遍:
這些攻擊的廣度和種類揭示了安全和工程領導者面臨的挑戰。一些攻擊利用了錯誤地暴露在互聯網上的 API。其他攻擊使用錯誤地暴露在代碼存儲庫中的 API 密鑰或其他身份驗證方法。或者攻擊者通過 VPN 漏洞訪問內部環境并使用內部 API 竊取數據。
防范 API 威脅的最常見方法是將傳統的 Web 應用程序安全策略與現代 API 安全技術相結合。面對當今各種 API 威脅,傳統策略往往顯得力不從心。自動 API 發現和 API 對比測試等現代技術試圖彌補這些差距。
對于企業來說,至關重要的是采取正確的防護措施(實施全局控制和安全策略來保護已部署的應用程序和 API)和向左移動(在代碼中構建安全性以在應用程序和 API 投入生產之前消除漏洞)。這兩種策略都無法單獨提供全面的 API 安全性,因此防止違規的關鍵是采取涵蓋三類 API 安全實踐的整體方法:
通過將正確的策略與正確的工具相結合,組織可以更好地保護其 API 免受攻擊并確保其軟件系統的安全。讓我們來看看平臺工程領導者需要實施哪些重要功能和工具來保護整個生命周期的 API。
API 安全態勢管理可讓您了解 API 公開的數量、類型、位置和數據。這些信息可幫助您了解與每個 API 相關的風險,以便您采取適當的措施來保護它。
主要功能:
代表性技術:
重要的是要記住,沒有任何技術可以可靠地找到架構中的每個 API。大多數發現技術依賴于現有負載均衡器、API 網關和 Ingress 控制器提供的可見性,并且不太可能捕獲繞過這些架構組件的錯誤配置。
最終,代碼審查和遵循 API 優先最佳實踐可以提供更有效的長期預防。但自動化 API 發現工具仍然有助于快速構建安全態勢視圖并捕獲可能不受管理和不安全的 API。
雖然 API 安全態勢管理與整個企業的安全有關,但 API 安全測試則主要針對單個 API。從最基本的方面來說,API 安全測試通過測試 API 運行時(即在 API 后面運行的應用程序)來幫助識別和預防漏洞及其相關風險。它有助于確保滿足基本安全要求,包括身份驗證、授權、速率限制和加密的條件。
主要功能:
代表性技術:
有開源契約測試工具,也有專門的 API 安全供應商提供的商業產品。應用程序安全測試 (AST) 市場已經存在了幾十年,越來越多的供應商提供專門的 API 掃描和測試工具。
API 運行時保護是指在 API 運行和管理請求時對其進行保護。它優先考慮在平臺基礎架構以及 API 本身的代碼中構建安全性。目標是識別和阻止部署后出現的惡意 API 請求。
主要功能:
代表性技術:
并非所有 API 網關和 WAF/WAAP 都生來平等。某些服務(尤其是云和其他平臺上提供的原生解決方案)缺乏多云和混合架構所需的全球可視性和標準化。
鑒于保護 API 的重要性,以有組織的方式處理 API 安全問題至關重要。平臺工程和安全領導者必須共同努力,解決整個 API 生命周期的安全要求。正如我們之前所探討的,這大致涉及三個主要實踐領域:API 安全態勢管理、API 安全測試和 API 運行時保護。換句話說,您需要專注于了解您有多少個 API、如何測試它們是否存在錯誤以及如何在代碼中構建安全性。
與所有網絡安全一樣,API 安全是一個持續的過程,需要與許多利益相關者合作,包括網絡工程師、安全運營負責人、平臺工程負責人和軟件開發工程師。好消息是,如何保護 API 并不是什么難事。
大多數組織已經采取措施來對抗眾所周知的攻擊,例如跨站點腳本、注入、分布式拒絕服務以及其他可以針對 API 的攻擊。上述許多最佳實踐對于經驗豐富的安全專業人員來說可能非常熟悉。無論您的組織運營多少個 API,您的目標都是建立可靠的 API 安全策略并隨著時間的推移主動管理它們。
文章來源:Prevent API Attacks with Essential Tools and Best Practices for API Security
