信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

API（應(yīng)用程序編程接口）在現(xiàn)代軟件開發(fā)中占據(jù)著重要地位。API推動了應(yīng)用程序、容器和微服務(wù)之間的數(shù)據(jù)和信息交換，徹底改變了Web應(yīng)用的工作方式，催生了大量數(shù)字商業(yè)模式，因此API也被喻為數(shù)字經(jīng)濟的“交換機”。

盡管API有無數(shù)的好處，但黑客也可以利用API中的漏洞未經(jīng)授權(quán)訪問敏感數(shù)據(jù)和隱私數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)泄露、財務(wù)損失和聲譽受損。因此，企業(yè)需要了解API安全威脅形勢，并尋找緩解威脅的最佳方法。

API攻擊暴增400%

API支持應(yīng)用程序和系統(tǒng)之間的數(shù)據(jù)交換，能夠無縫執(zhí)行復(fù)雜任務(wù)，但隨著API平均數(shù)量的增加，組織往往會忽視它們的漏洞，從而成為黑客的主要目標(biāo)。根據(jù)SaltSecurity的《2023年第一季度API安全狀況報告》調(diào)查結(jié)果，在過去六個月中，針對API的攻擊增加了400%。

API中的安全漏洞會危及關(guān)鍵系統(tǒng)，導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露，例如Twitter和OptusAPI的泄露。網(wǎng)絡(luò)犯罪分子可以利用這些漏洞發(fā)起各種攻擊，例如身份驗證攻擊、分布式拒絕服務(wù)攻擊(DDoS)和惡意軟件攻擊。API安全已成為一個重要的業(yè)務(wù)問題，另一份報告顯示，到2023年，API濫用將成為導(dǎo)致數(shù)據(jù)泄露的最常見攻擊媒介，而且50%的數(shù)據(jù)盜竊事件與不安全的API有關(guān)。因此，API安全性成為企業(yè)保護(hù)數(shù)據(jù)的首要任務(wù)，每年給企業(yè)造成高達(dá)750億美元的損失。

2023年六大API安全威脅

對于大多數(shù)企業(yè)來說，保護(hù)API一直是一項艱巨的任務(wù)，主要是因為API內(nèi)的配置錯誤以及云數(shù)據(jù)泄露的增加。隨著安全形勢的發(fā)展，API蔓延成為對API安全構(gòu)成威脅的首要原因。API蔓延是指API在整個組織中不受控制地擴散，對于擁有多個應(yīng)用程序、服務(wù)和開發(fā)團(tuán)隊的企業(yè)來說，這是一個常見問題。

隨著API數(shù)量的增長，攻擊面也在不斷擴大，成為對黑客頗有吸引力的目標(biāo)。問題在于API的設(shè)計并不總是考慮到安全標(biāo)準(zhǔn)。這會導(dǎo)致缺乏授權(quán)和身份驗證，從而暴露個人身份信息(PII)或其他業(yè)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)。

企業(yè)最關(guān)注的六個API安全威脅

數(shù)據(jù)來源：SaltSecurity2023年一季度API安全態(tài)勢報告

API蔓延產(chǎn)生影子API和僵尸API，進(jìn)一步威脅API安全。僵尸API是暴露的、廢棄的、過時的或被遺忘的API，它增加了API安全威脅。當(dāng)組織致力于開發(fā)新產(chǎn)品或功能時，他們經(jīng)常會忽略在應(yīng)用程序環(huán)境中“游蕩”的僵尸API，從而使攻擊者能夠滲透易受攻擊的API并訪問敏感數(shù)據(jù)。

與僵尸API不同，影子API通常是第三方API，是在沒有適當(dāng)監(jiān)控的情況下開發(fā)的，且未被跟蹤和記錄的API。影子API會給企業(yè)帶來可靠性問題、不必要的數(shù)據(jù)丟失、違規(guī)處罰以及運營成本增加。

此外，物聯(lián)網(wǎng)（IoT）等新技術(shù)的出現(xiàn)給維護(hù)API安全帶來了更大的難度。隨著越來越多的設(shè)備連接到互聯(lián)網(wǎng)并可以遠(yuǎn)程訪問，任何不充分的安全措施都可能導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。此外，生成式人工智能算法可能會帶來安全挑戰(zhàn)。黑客可以利用人工智能算法來檢測API中的漏洞并發(fā)起有針對性的攻擊。

提高API安全的五大最佳實踐

API安全已成為企業(yè)網(wǎng)絡(luò)安全的重要關(guān)注點，需要采用整體網(wǎng)絡(luò)安全方法來緩解威脅和漏洞。開發(fā)人員和安全團(tuán)隊必須通力協(xié)作實施以下五大最佳實踐，以提高API安全性：

01

發(fā)現(xiàn)所有API

API發(fā)現(xiàn)對于發(fā)現(xiàn)僵尸API和影子API等現(xiàn)代API安全威脅至關(guān)重要。安全團(tuán)隊接受過保護(hù)關(guān)鍵任務(wù)API的培訓(xùn)，但發(fā)現(xiàn)內(nèi)部、外部和第三方API對于增強API安全性也至關(guān)重要。企業(yè)需要投資自動化API發(fā)現(xiàn)工具，以檢測每個API端點，并提供對API狀態(tài)、位置和運行狀況的可見性。

開發(fā)人員還應(yīng)該通過集成API網(wǎng)關(guān)和代理來監(jiān)控API流量，這有助于發(fā)現(xiàn)影子API。此外，安全團(tuán)隊需要創(chuàng)建定義如何記錄、使用和管理API的策略，這將有助于進(jìn)一步定位未知或易受攻擊的API。

02

測試評估所有API

隨著API安全威脅變得越來越普遍，安全團(tuán)隊不能依賴通用的測試方法。他們需要采用高級的安全測試方法，例如SAST（靜態(tài)應(yīng)用程序安全測試）。它是一種白盒安全測試方法，可以識別源代碼中的漏洞并修復(fù)安全缺陷。向開發(fā)人員提供即時反饋使他們能夠編寫更加安全的代碼，開發(fā)更加安全的應(yīng)用程序。但是，由于SAST測試無法檢測代碼外部的漏洞，因此安全團(tuán)隊可以考慮同時使用其他安全測試工具（例如DAST、IAST或XDR）來提高安全標(biāo)準(zhǔn)。

03

采用零信任安全框架

用戶必須經(jīng)過授權(quán)和身份驗證才能訪問數(shù)據(jù)，這種方式在減少攻擊面方面發(fā)揮著至關(guān)重要的作用。此外，利用零信任架構(gòu)(ZTA)可以將API分為更小的單元，擁有自己的一組身份驗證、授權(quán)和安全策略。這使安全架構(gòu)師能夠更好地控制API訪問并增強API安全性。

04

實施API狀態(tài)管理

API狀態(tài)管理是幫助組織檢測、監(jiān)控和最大程度地減少由于易受攻擊的API造成的潛在安全威脅的另一種好方法。各種狀態(tài)管理工具持續(xù)監(jiān)控API并通知有關(guān)可疑或未經(jīng)授權(quán)的活動。這使組織能夠迅速響應(yīng)API安全威脅并減少攻擊面。

API狀態(tài)管理工具還能執(zhí)行定期漏洞評估，掃描API是否存在安全缺陷，從而使組織能夠采取措施加強API安全性。除此之外，這些工具還提供API審核功能，確保遵守行業(yè)法規(guī)以及其他內(nèi)部政策，保持透明度并最大限度地提高整體安全標(biāo)準(zhǔn)。

05

實施API威脅防御

提高API安全性是一項持續(xù)的任務(wù)。因此，無論監(jiān)控和安全政策多么強大，威脅仍然可能出現(xiàn)。這就需要實施主動的API威脅預(yù)防措施，以識別和緩解對業(yè)務(wù)產(chǎn)生不利影響的潛在API威脅。

API威脅預(yù)防包括使用專門的安全解決方案和技術(shù)，例如威脅建模、行為分析、漏洞掃描、事件響應(yīng)和報告。此外，通過持續(xù)監(jiān)控、加密或身份驗證機制以及API速率限制，組織可以避免數(shù)據(jù)泄露并確保業(yè)務(wù)運營不間斷。

API選型的六個基準(zhǔn)問題

隨著API數(shù)量和采用率的不斷增長，企業(yè)的API安全面臨著重大挑戰(zhàn)，經(jīng)常導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。因此，確保API安全是每個開發(fā)者的首要責(zé)任。除了遵循以上五大API安全最佳實踐外，在API安全工具和平臺的選型時，企業(yè)通常還會關(guān)注以下基準(zhǔn)問題：

●能否阻止攻擊

●能否發(fā)現(xiàn)和識別所有API資產(chǎn)，包括沒有文檔記錄的API

●是否支持實施“安全左移”API安全實踐

●是否支持API事件響應(yīng)和調(diào)查的流程化

●能否防御OWASPAPI安全TOP10威脅

●能否滿足合規(guī)和法律要求