关注公众号回复“河南等保1111”获取“渗透测试指南七个阶段”了解更渗透测试规则 |
关于 API 安全性有几个神话和误解。这些关于保护 API 的神话正在摧毁您的业务。上次,在翻译一篇国外的文章时,将“myth”翻译成了“神话”,有朋友说港台会翻译成“迷思”,迷思音译同时也能保持误解的意思,不过在内地,还是以神话为多。
为什么这样?因为这些神话正在扩大安全漏洞。这使得攻击者更容易滥用 API。API 攻击代价高昂。当然,将不得不承担经济损失。但也有其他后果:
-
名誉受损
-
客户流失
-
失去客户信任
-
难以获得新客户
-
法律费用
-
对违规行为处以巨额罚款和处罚
更好地保护 API:揭开 5 大 API 安全神话
误区 1:API 网关、现有 IAM 工具和 WAF 足以保护 API
现实: 这些不足以保护您的 API。它们是 API 安全层。他们需要成为更大的安全解决方案的一部分。
API 网关监控端点。它们提供对 API 使用的可见性。它们提供一定程度的访问控制和速率限制功能。他们授权 API 调用并将其路由到正确的后端服务。但大多数 API 网关并不是为安全而构建的。开发人员将它们用于集成目的。
我们也有 API 安全网关。但他们只能跟踪和保护南北交通。南北交通连接前端和后端。此流量通过 WAF。API Gateway 无法有效保护东西向 API 流量。这种流量构成了服务器、容器和服务之间的连接。这些不通过 WAF。
此外,它不会发现所有 API 端点。它不能识别和分类不同的数据类型。因此,它提供了有限的可见性。这是一种保护 API 的相当单一的方式。
现有的 IAM(身份和访问管理)工具有助于授权和验证机器身份。WAF(Web 应用程序防火墙)是 API 流量和服务器/API 之间的屏障。但这些安全工具不提供可见性,而这是 API 安全性的关键。他们依赖基于签名的检测技术,无法有效保护 API。
所有这三个工具都只提供低级别的安全屏障。他们没有能力检测新兴类型的恶意行为。攻击者可以轻松绕过这些防御并进行 API 攻击。它们应该是多层、有凝聚力、特定于 API 的安全解决方案的一部分。
误区 2:API 安全性很简单
现实:API 的基本概念可能很简单。但是,API 安全性要复杂得多。
API 连接两个程序。但这并不意味着互连的程序是自动安全的。就其本质而言,API 会暴露数据和数字资产。此外,您可能无法完全了解所有 API。这导致了攻击者可以利用的影子 API。这扩大了 API 攻击面。如果您没有正确计划和执行它,您的 API 安全性就会不足。
简单的 API 解决方案在敏捷的数字环境中无效。您需要高级、升级的 API 安全解决方案来防止威胁。
误区 3:开发人员将始终将安全性融入 API
现实:开发人员不会通过设计自动确保安全性。
越来越多的企业正在转向左移方法。它打算在开发过程中尽早发现并修复安全漏洞。这有助于加快 API 的上市速度。它还允许您避免在后期修复缺陷的额外成本。
采用这种方法并不能保证设计安全的 API。默认情况下,开发人员可能不会将安全性融入每个 API。有几个原因:
-
他们使用的静态和动态测试工具不是特定于 API 的。因此,它不能有效地检测特定于 API 的风险。
-
即使是自动化工具也无法找到所有漏洞。
-
开发人员不了解最新的最佳实践。
-
他们不使用人工智能或行为分析来检测逻辑和未知缺陷。
想要构建安全设计的 API?
您需要投资最好的 API 安全解决方案。您必须尽早将它们集成到开发过程中。不仅如此,您还必须继续教育您的开发人员了解最新的最佳实践。
误解 4:云提供商默认保护 API
现实:并非总是如此!保护 API 是一项共同责任。
云提供商将提供一定程度的安全性。例如,它们可能提供 API 网关、API 管理工具等。但这些工具无法提供您需要的保护级别。
请记住,他们只需要保护云。您对在云中运行的数据和应用程序负责。如果您使用云服务,则需要投资多层解决方案来保护您的 API。
误区 5:零信任足以保护 API
现实:只关注零信任会让你失败
大多数企业都特别关注零信任策略来保护 API。这并没有大大提高 API 的安全性。为什么?就其性质而言,API 需要访问才能正常运行。但是零信任架构限制了访问。攻击者也可以劫持经过身份验证的会话。
结论
避免这些有缺陷的 API 安全方法。随着攻击者能力的扩大,安全策略也需要扩大其范围。单一工具和传统方法无法有效保护 API。您需要以 API 为中心、多层、完全托管的解决方案。
原文始发于微信公众号(祺印说信安):破坏业务的5大API安全神话
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论