API NEWS | 关于智能汽车API安全

本周，我们带来的分享如下：

• 关于智能汽车API安全的文章；

• 探讨API所有权及其对安全性的影响；

• CISOs的首要安全问题调查报告；

• 关于API安全测试的入门指南。

本周的分享主题关于智能汽车API安全。API的采用促进了智能联网汽车的创新，但随着API的采用，车辆的价值和关键性以及潜在的远程访问或控制的入侵影响，都带来了额外的安全问题。最近，时事通讯重点报道了特斯拉汽车系列利用第三方集成应用程序暴露车辆访问令牌漏洞，导致远程接管的新闻。

第二个建议是采用智能令牌验证，以防泄露或数据丢失。JSON web令牌（JWTs）允许客户端向后端API提供一组声明，随后后端API负责验证令牌，并根据声明允许（或拒绝）访问。

• 可以使用复杂的体系结构模式提供更高的安全性，尤其是防止泄漏。

• 可以从API本身卸下令牌验证的任务，以提高性能和安全性。

• 它减少了对API进行未授权调用的可能性。

第三个建议是使用开发人员门户，使开发人员能够理解组织的API，跟踪其使用情况，并监视API访问者。

本周的第二篇文章讨论了一个重要的话题——API所有权。从安全的角度来看，API所有权在整个API生命周期中都很重要，特别是在操作阶段，以确保事件的及时响应。

• IT API所有者：技术或IT所有者负责根据组织的政策和标准开发和操作API。

• 业务API所有者：该模型以API消费者为中心，根据其需求管理生命周期。

• 共享所有权：该模型允许业务从消费者和业务的角度关注API策略，而IT所有者则管理开发和部署的技术方面。

• 遵循API安全检查表：使用检查表（如OWASP ASVS）可以确保在生命周期的所有阶段处理API安全最佳实践。

• 基于目的分配所有权：所有权应该基于API的功能，以确保及时响应事件或中断。

• 优先考虑安全性：意料之中的是，作者建议在API生命周期的所有阶段优先考虑安全性，尤其建议使用专用的API安全工具。

• 使用外部API可见性工具：使用外部API可见性工具可以检测暴露的API并评估相关漏洞。在API网关中使用威胁保护特性。

• 实现分层的安全方法：必须在多个级别处理API漏洞，确保常见漏洞类别得到处理。

虽然安全人人有责，但有一个指定的API所有者至关重要。

最近，一份题为《CISOs报告、展望、挑战和2022年及以后的计划》的报告显示，CISOs面临着越来越多的与采用基于云的应用程序和API相关的挑战。基于对400多个ciso的调查，该报告反映了他们对因远程办公、云应用和不断发展的开发实践而引起的IT环境变化的关注。

• API：42%

• 云应用程序（SaaS）：41%

• 云基础设施（IaaS）：38%

该报告强调了数据发现和分类以及DevSecOps的重要性，以及越来越多的零信任（尽管仍不成熟）和供应链或第三方风险等话题。

最后，我们来看Bright security编写的API安全性指南，该指南给出了OWASP API安全Top 10的基本概述，并涵盖了REST、SOAP和GraphQL的高级安全。

• 识别漏洞

• 利用OAuth2

• 加密数据

• 使用速率限制和节流

• 使用服务网格

• 采用零信任理念

• 使用动态应用程序安全测试（DAST）工具测试API

感谢 APIsecurity.io 提供相关内容