API NEWS | API 管理安全基线的新指南

admin 2023年3月9日00:29:26评论25 views字数 2189阅读7分17秒阅读模式

API NEWS | API 管理安全基线的新指南


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 关于API 安全对软件供应链的重要性

  • 医疗保健行业的API采用

  • API 管理安全基线的新指南


软件供应链的API安全


本周的第一篇文章是 NordicAPIs 的,非常及时地看待 API 安全对于软件供应链的重要性。现代软件平台越来越多地由离散元素组成,而不是像以前常见的那样作为整体开发。虽然这种方法为更短的开发周期和更快的上市时间提供了巨大的好处,但它是以更复杂的供应链为代价的——单个组件中的漏洞会对整个系统的安全状况产生不利影响。几十年来,汽车制造商深知这一点:他们一直在仔细跟踪任何给定车辆中所有组件的来源,以便在出现潜在缺陷时进行召回。

API NEWS | API 管理安全基线的新指南

现在,为什么软件供应链对安全如此重要?因为恶意攻击者可以将攻击集中在供应链上,而不是直接攻击最终产品或应用程序:用恶意组件替换好的组件比攻击整个系统更容易。近年来,基于软件供应链的攻击数量有所增加:想想 SolarWinds 攻击,攻击者将恶意软件注入供应链,或英国航空公司网站攻击,攻击者能够将恶意 JavaScript 注入网站窃取付款细节。

那么 API 安全性如何影响软件供应链呢?API 是软件供应链中的关键组件,因为它们在组装在一起时形成了不同系统之间的集成点。API 中的任何弱点都会对整个系统的安全性产生负面影响。例如,如果第 3 方 API 泄露了您产品上的 PII 信息,这最终会对您产生不利影响,不一定是第 3 方。谨防无意中继承技术债务和风险

改善供应链安全的一些建议包括:

• 对整个供应链进行审计,以了解所有组成部分及其风险状况。

 使用零信任模型——假设其他组件和接口可能具有敌意,并确保强制执行持续的身份验证、授权和验证。

• 提防第 3 方提供商并执行最低安全标准和验收标准。

预测在不久的将来我们会听到更多关于 API 软件供应链的消息。



医疗保健行业的 API 采用


Health IT Security 网站刊登了  一篇文章,介绍了医疗保健行业越来越多地采用 API,  以及组织如何面临管理相关网络安全风险的挑战。医疗保健行业一直处于 API 采用的最前沿,允许快速集成和交换健康数据。HL7 FHIR 标准的采用进一步加速了 API 的采用,以至于最近的研究表明 API 在健康监测中的使用量增加了 941%。

API NEWS | API 管理安全基线的新指南

不幸的是,大家非常清楚,这些 API 提供了额外的攻击媒介,允许潜在的 PII 和机密患者健康数据泄露。引用的增加很好地体现了采用率增加和风险之间的冲突:

“从医疗保健的角度来看,我将其视为二元性的这一方面。医疗保健需要提供对更多数据的更轻松访问。但正因为如此,它必须更加关注数据隐私和安全。”


作者列出了一些建议和最佳实践,包括:

• 专注于基本面,把基本面做好。

 利用 API 管理门户和 API 网关,并启用它们的安全功能。

 实施强大的身份验证和授权控制。

• 实施传输级安全性 (TLS) 1.2 或更高版本。

 在授予系统访问权限和管理令牌生命周期时要谨慎。


平衡创新速度与风险敞口是一项挑战——关键是 API 安全的自动化。


Azure API 管理安全基线


Microsoft Azure 最近发布了他们的 API 管理安全基线指南。虽然 Azure 用户对此特别感兴趣,但他们的许多建议也适用于其他 API 管理系统。

他们的建议涵盖网络、身份管理、特权访问、数据保护、资产管理、日志记录和威胁保护以及备份和恢复等领域。

API NEWS | API 管理安全基线的新指南


对于网络,他们建议:

• 建立网络分段边界。

• 使用网络控制保护云服务。

 部署 Web 应用程序防火墙。


在身份管理方面,他们建议:

• 使用集中的身份和身份验证系统。

• 安全、自动地管理应用程序身份。

• 使用单点登录 (SSO) 进行应用程序访问。

 根据条件限制对资源的访问。

 限制凭证和机密的泄露。


对于特权访问,他们建议:

• 将高特权和/或管理用户的访问权限与普通用户的访问权限分开并加以限制。

• 遵循恰到好处的管理原则(又称最小特权)。

 确定云提供商支持的访问流程。


关于敏感数据的数据保护和处理,他们声明如下:

• 发现、分类和标记敏感数据。

• 监控针对敏感数据的异常和威胁。

 加密传输中的敏感数据。

 使用安全的密钥和证书管理流程。


对于资产管理,他们建议仅使用经批准的服务。


至于日志记录和威胁防护,他们建议:

• 启用威胁检测功能。

 为安全调查启用日志记录。



感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。



往期 · 推荐



API NEWS | API 管理安全基线的新指南

API NEWS | API 管理安全基线的新指南

API NEWS | API 管理安全基线的新指南

API NEWS | API 管理安全基线的新指南


API NEWS | API 管理安全基线的新指南

原文始发于微信公众号(星阑科技):API NEWS | API 管理安全基线的新指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月9日00:29:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   API NEWS | API 管理安全基线的新指南https://cn-sec.com/archives/1233769.html

发表评论

匿名网友 填写信息