新一代API安全技術(shù)需要具備10種能力
2023年07月27日
在數(shù)字化時(shí)代����,幾乎所有的企業(yè)都需要依賴大量API進(jìn)行服務(wù)連接、數(shù)據(jù)傳輸和系統(tǒng)控制��,在此背景下��,確保各類API的安全應(yīng)用也變得越來越重要�����。然而���,有很多企業(yè)還沒有對(duì)API應(yīng)用存在的安全威脅給予足夠重視����,這也導(dǎo)致了API安全狀況與企業(yè)的實(shí)際需要之間存在了很大差距����。
API安全挑戰(zhàn)
當(dāng)前,企業(yè)在API應(yīng)用中面臨的安全挑戰(zhàn)主要包括以下方面:
01�、擴(kuò)大企業(yè)攻擊面
隨著云計(jì)算技術(shù)的廣泛應(yīng)用�����,越來越多的Saas化業(yè)務(wù)系統(tǒng)和服務(wù)被遷移上云��,在為更多用戶提供服務(wù)的同時(shí)����,也將大量API暴露到云中��,相對(duì)于傳統(tǒng)數(shù)據(jù)中心的單點(diǎn)式調(diào)用����,云上的東西向和南北向訪問都可能成為威脅API安全的攻擊面。
02�、忽視API安全能力構(gòu)建
敏捷開發(fā)模式是當(dāng)今主流開發(fā)模式,敏捷開發(fā)強(qiáng)調(diào)個(gè)體和互動(dòng)�����、工作的軟件��、客戶合作�、響應(yīng)變化���,雖然提升了創(chuàng)新速度和靈活性��,但是對(duì)于如何構(gòu)建API安全性卻缺少合適的方法�����,導(dǎo)致在軟件構(gòu)建過程中難以顧及API安全��。
03���、API蔓延
API是由程序員編寫��,因此除了API應(yīng)用的開發(fā)者�����,很少有人會(huì)意識(shí)到這些API的存在�,這使得大量的API缺少維護(hù)���,并經(jīng)常容易被忽略��。當(dāng)組織缺乏適當(dāng)?shù)腁PI可見性��、治理機(jī)制和生命周期策略時(shí)����,僵尸、影子和幽靈等可怕的API威脅就會(huì)出現(xiàn)����,并給企業(yè)業(yè)務(wù)開展造成損害。
04�、低估API安全風(fēng)險(xiǎn)
一些企業(yè)會(huì)假設(shè)軟件系統(tǒng)都應(yīng)該按照設(shè)計(jì)中的流程運(yùn)行,從而導(dǎo)致API被攻擊的可能性以及其后果被嚴(yán)重低估�,因此未采取充分的防護(hù)措施。此外�����,第三方合作伙伴系統(tǒng)的API��,也容易被組織所忽視�����。
傳統(tǒng)安全工具的不足
由于API在設(shè)計(jì)架構(gòu)上的特殊性��,它們無法通過傳統(tǒng)的應(yīng)用安全工具進(jìn)行有效的保護(hù)���,比如API應(yīng)用網(wǎng)關(guān)��、日志分析和WAF等���。據(jù)最新的API安全研究數(shù)據(jù)顯示,77%的受訪者表示�����,傳統(tǒng)的安全工具難以滿足其API安全防護(hù)需求����,主要原因包括:
01、缺乏API特有的功能
傳統(tǒng)安全工具主要是為保護(hù)傳統(tǒng)業(yè)務(wù)應(yīng)用程序和網(wǎng)絡(luò)基礎(chǔ)設(shè)施而設(shè)計(jì)的��,缺乏解決API特有漏洞所需的具體功能�����,比如無效的對(duì)象級(jí)授權(quán)(BOLA)���、輸入驗(yàn)證不充分或訪問速率限制不足����。
02、復(fù)雜的API生態(tài)
現(xiàn)代應(yīng)用程序常常包含來自不同提供商的大量API�����。這種生態(tài)的復(fù)雜性使得傳統(tǒng)安全工具難以全面準(zhǔn)確地監(jiān)控API流量和檢測(cè)可疑活動(dòng)�。
03、可見性有限
傳統(tǒng)安全工具無法提供檢測(cè)特定API攻擊(比如撞庫(kù)攻擊和蠻力破解)所需的可見性��,因?yàn)檫@類攻擊往往會(huì)發(fā)生在多個(gè)API之間��,需要實(shí)現(xiàn)細(xì)粒度的API級(jí)可見性�。
04、身份驗(yàn)證不到位
很多企業(yè)中存在大量歷史遺留應(yīng)用程序���,因此��,使用API而不進(jìn)行身份驗(yàn)證是目前很常見的現(xiàn)象���。這些未經(jīng)身份驗(yàn)證的API一旦公開暴露,就會(huì)對(duì)企業(yè)的應(yīng)用系統(tǒng)安全構(gòu)成威脅����。API需要提供比傳統(tǒng)安全工具更高級(jí)的身份驗(yàn)證和授權(quán)機(jī)制,比如基于令牌的驗(yàn)證和授權(quán)�。
05��、動(dòng)態(tài)變化的環(huán)境
API是在高度動(dòng)態(tài)變化的環(huán)境中運(yùn)行����,需要不斷部署新的API��,并經(jīng)常更新現(xiàn)有的API�。傳統(tǒng)安全工具難以跟上快速的變化�����,從而導(dǎo)致在API安全控制方面出現(xiàn)缺口�����,可能被人利用�。
新一代API防護(hù)技術(shù)
保障API應(yīng)用安全并不僅僅是修復(fù)幾個(gè)安全漏洞的問題,它需要安全團(tuán)隊(duì)的全面關(guān)注�,并從更廣泛的角度解決API應(yīng)用安全缺口。日前�����,F(xiàn)5公司安全與反欺詐架構(gòu)師Joshua Goldfarb 總結(jié)了新一代API安全防護(hù)技術(shù)應(yīng)該具備的10種能力�,以幫助企業(yè)在選型API防護(hù)方案時(shí)提供參考���。
01、API資產(chǎn)發(fā)現(xiàn)和可見性
在確保API安全之前��,需要先識(shí)別它并了解它����。出于種種原因,一些API會(huì)在企業(yè)IT或安全團(tuán)隊(duì)不知情的情況下創(chuàng)建并使用���,這些API并未納入到資產(chǎn)管理對(duì)象中�,也不受安全和合規(guī)策略及控制措施的制約����。因此,API可見性和發(fā)現(xiàn)性是確保API安全的第一步�,也是新一代API安全技術(shù)必須要具備的功能。
02�����、輸出模式驗(yàn)證
試圖通過使用無效或不當(dāng)?shù)妮斎雭碚T導(dǎo)API錯(cuò)誤輸出是攻擊者經(jīng)常采用的一種技術(shù)����。因此����,確保API行為的有效性和正確性是實(shí)現(xiàn)整體API安全方法的重要部分�����。要求所有API請(qǐng)求和響應(yīng)遵守模式和所有規(guī)范是保護(hù)這些API免受攻擊和破壞的重要步驟�。這將對(duì)實(shí)現(xiàn)API安全應(yīng)用有很大幫助。
03�、安全策略執(zhí)行
企業(yè)都會(huì)制定相應(yīng)的API安全策略,但如果沒有嚴(yán)格執(zhí)行����,這些策略將變得沒有意義�����。保證企業(yè)的API安全策略(速率限制��、IP信譽(yù)和允許/拒絕列表等)能夠得到有效的執(zhí)行���,是對(duì)新一代API安全技術(shù)的最基本要求之一����。
04、保護(hù)敏感數(shù)據(jù)
API的主要安全漏洞之一就是泄露敏感數(shù)據(jù)���。因此�,保護(hù)敏感數(shù)據(jù)應(yīng)該是任何API安全解決方案的一部分����。要保護(hù)敏感數(shù)據(jù)安全,需要確保API被正確設(shè)計(jì)和保護(hù)��,還需要驗(yàn)證敏感數(shù)據(jù)沒有在不恰當(dāng)?shù)貍鬏敾蛐孤丁?/span>
05���、濫用和DoS防護(hù)
當(dāng)人們想到防范服務(wù)濫用或拒絕服務(wù)(DoS)攻擊時(shí)���,首先會(huì)想到OSI模型的第3層和第4層,而API所在的應(yīng)用層(第7層)卻經(jīng)常會(huì)被遺忘����。攻擊者們也注意到了這點(diǎn),隨時(shí)準(zhǔn)備針對(duì)應(yīng)用層的攻擊��,因而新一代API技術(shù)防范濫用和DoS功能的能力必不可少�。
06、全面地攻擊防護(hù)
攻擊者在不斷尋找破壞和惡意利用API的方法����。新一代API安全解決方案將包括基于特征�、基于異常和基于AI的攻擊保護(hù)機(jī)制��,以防范各種各樣的新型攻擊��。
07����、訪問控制
不適當(dāng)?shù)脑L問控制(包括身份驗(yàn)證和授權(quán))一直都是困擾API安全應(yīng)用的主要問題之一。無論是由于疏忽�、人為錯(cuò)誤、主觀惡意還是其他任何原因����,對(duì)API的訪問控制不當(dāng)都意味著災(zāi)難性后果�����。新一代API安全解決方案必須要能夠提供身份威脅發(fā)現(xiàn)服務(wù)���、身份驗(yàn)證服務(wù)和API訪問控制服務(wù)��。
08�、惡意用戶檢測(cè)
通過機(jī)器學(xué)習(xí)可以分析出與API交互的客戶端行為是否存在異常,這有助于在安全攻擊實(shí)際發(fā)生前做好預(yù)防����。作為整體API安全解決方案的一部分,檢測(cè)和阻止惡意用戶有助于更好保護(hù)API免受攻擊�、破壞和泄密。
09�����、安全配置和管理
API的配置和管理不當(dāng)導(dǎo)致了大量的安全威脅���。因此�����,新一代API安全解決方案需要支持企業(yè)輕松部署和實(shí)施正確的安全模型�,這有助于確保API不會(huì)被錯(cuò)誤配置����,避免人為API安全漏洞的產(chǎn)生。
10��、行為分析
API訪問行為分析應(yīng)該是新一代API安全產(chǎn)品必備的安全能力。通過研究從應(yīng)用程序的端點(diǎn)和API收集而來的各種日志���,就能總結(jié)出各類API應(yīng)用請(qǐng)求路徑的行為�����,并生成一組行為安全性參照指標(biāo)�,比如請(qǐng)求大小�、響應(yīng)大小、數(shù)據(jù)延遲�、請(qǐng)求率、錯(cuò)誤率以及響應(yīng)吞吐量����。這是一個(gè)迭代過程,會(huì)隨時(shí)間的推移而持續(xù)更新�,并不斷優(yōu)化。
