API风险

©网络研究院

从表面上看，API帮助企业连接应用程序并相互共享数据。这为客户和用户创造了更简单、更无缝的体验。

如果你曾经使用你的谷歌账户登录过多个网站或应用程序，那么你很有可能使用的是谷歌开发的API。

像这样的API在后台工作，为许多被认为是理所当然的简化用户体验提供动力。

因此，我们需要确保跨移动应用的更强的API安全性，否则它们的所有好处都将化为乌有。

被盗的API密钥是迄今为止一些最大的网络攻击背后的罪魁祸首。我们看到头条新闻，阅读新闻故事，但我们往往没有意识到广泛的后果，特别是对企业移动安全的显著影响。

想想今年早些时候的新闻，3000多个移动应用程序泄露了推特的API密钥，这意味着坏人可能会危及数千个个人账户，并进行一系列恶意的活动。

想象一下，如果这是你的公司，角色互换，数百甚至数千个移动应用程序将API密钥泄露给你的公司Gmail、Slack或OneDrive帐户。

如果这种或类似的情况发生，员工设备和敏感的公司数据将面临极大的风险。最近对API安全性的关注发生在一个关键时刻，越来越多的企业依赖于企业移动性，这意味着越来越依赖于移动应用程序连接。

最近对美国和英国的安全主管和移动应用程序开发人员的调查发现，74%的受访者认为移动应用程序对企业成功至关重要。

此外，移动应用程序还被发现有助于企业赚取收入，并使客户能够获得服务。此外，在同一调查中，45%的受访者表示，针对使移动应用程序离线的API的攻击将对他们的业务产生重大影响。

这些结果只是证实了我们已经知道的事情：移动应用对企业移动性和生产力至关重要。

API安全风险会导致整个设备被接管

虽然API有很多优点，但它们在移动应用程序中无处不在的使用也是一个明显的缺点。当你考虑到许多企业依赖第三方应用程序和API时，尤其如此。

如果您认为这些第三方与您和您的企业有着相同的安全顾虑和程序，请三思。第三方通常是数据泄露的罪魁祸首，正如最近第三方黑客攻击导致澳大利亚最大的电信公司遭受重大数据泄露所证明的那样：影响成本仍在量化。

对企业来说更困难的是，移动应用程序：尤其是驱动它们的APIs通常比电脑上的网页更容易受到网络攻击。每次使用一个app，即使是在后台运行，也是通过调用来收发数据，这是你的设备最容易受到攻击的时候。

威胁参与者可以利用这些API调用或设备与应用之间的请求来窃取数据。

由于应用程序存在于设备本身，威胁者有可能劫持整个设备，使存储在设备上的信息面临巨大风险。无论设备是公司所有还是个人所有，员工可以访问的每台设备上都可能存储有某种形式的公司数据。

保护企业移动设备和数据免受API漏洞的攻击

这些易受攻击的API不仅威胁到企业的利润、声誉和生存能力，还威胁到企业及其客户和合作伙伴的敏感数据。

幸运的是，有一些方法可以抵御这些威胁。首先，集中精力创建对企业应用程序面临的威胁的共同理解，这对于级别设置非常重要。

这将使人们更加意识到这样一个事实，即员工手机上的企业移动应用程序会将企业数据泄露出去，除非这些应用程序得到管理或明确隔离。

更好地防范易受攻击的API的一个重要步骤是开发一种策略，将数据与设备本身分离开来。这个过程被称为集装箱化。利用高级加密功能并确保数据在其传输、传输和存放阶段都是安全的，这是另一个关键因素。

推荐使用AES 265位加密。此外，组织应该考虑采用更强大的身份认证流程来保护敏感数据。

寻求利用API漏洞的威胁参与者带来了许多挑战，随着API攻击面的不断扩大，这些挑战只会越来越多。

虽然这些顾虑初看起来令人望而生畏，但企业可以主动采取措施来保护其企业应用程序和设备。

在开发过程中构建额外的安全性是一个很大的进步，但这有时是一种奢侈，依赖第三方应用程序的企业负担不起或无法洞察。

这就是为什么企业必须从战略角度考虑这些应用程序如何与企业数据交互，并创建额外的身份验证步骤来保护数据。

原文始发于微信公众号（网络研究院）：API风险