面对愈加严重的恶意攻击 API需要纵向保护

admin 2023年1月14日16:08:45安全新闻评论5 views1517字阅读5分3秒阅读模式
面对愈加严重的恶意攻击 API需要纵向保护


随着云计算、移动互联网和物联网的蓬勃发展,API的使用规模也在逐渐扩大。早在2021年7月,Gartner就预测2022年,应用程序编程接口(API)将成为最常见的攻击载体。如今,API安全已然成为了当下企业面临的最严峻的网络安全挑战之一。当我们谈论API安全性时,我们指的是用于保护API及其传输数据的措施和实践,包括未经授权的访问、对DDoS的不良反应或其他恶意攻击。


面对愈加严重的恶意攻击 API需要纵向保护


API保护是一门艺术:要正确操作,需要将技术和组织流程微妙结合。


在技术方面,可以采用身份验证和授权、加密、自动测试和监控等措施。在企业方面,需要确切知道API到底在为谁服务,相应定制访问权限。针对外部API,企业需要知道外部的哪些数据可用,以及如何策划和呈现这些需要的数据。


API如何保护?


1

当企业尝试去保护API时,需要有一个条理性的操作顺序,以识别和管理API。


首先,可以对每一个API进行编码。这样做可以让企业时刻保持API库存的更新,对于开发人员来讲,能够方便、快速、安全地进行网站开发。同时,为了避免API发生蠕变,每个API都应该注册以下信息:


  • 名称

  • 用于构建API的工具和软件包

  • API运行的服务器

  • 依赖该API的服务

  • 有效用途和错误代码

  • 绩效指标

  • 预期正常运行时间或停机窗口


以上所有信息都应该进入由专业网络安全团队管理的存储库。


其次,对每个API进行自动化检测。根据以上的信息,网络安全团队或专业检测团队可以定期对API进行测试。通过检测,可以时时刻刻地观察API数据变化,保证其安全性和可靠性。


最后,将API安全添加到企业威胁预防策略中。当发现用于构建API的工具或软件包存在错误时,那么与它相链接的任何协议都应该被认为是不安全的,企业需要关闭受影响的所有设备。


2

API保护措施


当进行渗透测试或保护API时,可以参考以下这些方法:


01 从API活动开始分析。通过对API的访问级别、使用协议和端口进行测试,并在API本身停止运行的情况下检测,查看整个系统是否会发生变化,实际情况与预期结果是否匹配。
02 从API的服务级别分析。企业需要对相关服务器进程的优先级、API速率限制、最小或最大请求延迟设置以及可用性窗口有所了解,其中一些细节对于DDoS的预防非常重要。同时,也有助于监控是否有内存泄漏或垃圾收集问题,这些问题可能会对服务器的完整性构成长期威胁。

03 身份验证和安全环境。与其他任何服务一样,在使用API之前,进行需要经过杀毒,保持良好的网络环境,可以防止代码注入、缓冲区溢出等安全风险。为特定用户群的API设计一定程度的身份验证。当然,在如今这个时代,身份验证不一定是唯一的密码,也可以选择生物识别技术。总之,企业应该选择最适合的方法并进行定期测试。


当然,加密和数字签名也是一种保护措施。API接口需要加密,并且在发送或接收已知实体(大小、内容等)的文件时,检测或校验也是不可缺失的。


3

响应API攻击


基本规则是:如果API访问失败,就应该立刻停止访问。因为在开放或可访问的状态下,是不会失败的。所以,应该立即限制速率,然后保持错误状态。同时,也需要制定一些特定的API攻击,遵循SOP(标准作业程序),不可偷工减料。


对于某些基础设施不完善的企业来讲,创建一个API安全系统,让安全测试自动化,可以持续有效保证API库存的最新状态,保证API的安全性。


安全419编译

https://www.darkreading.com/dr-tech/api-security-is-the-new-black


推荐阅读

面对愈加严重的恶意攻击 API需要纵向保护



面对愈加严重的恶意攻击 API需要纵向保护

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

原文始发于微信公众号(安全419):面对愈加严重的恶意攻击 API需要纵向保护

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月14日16:08:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  面对愈加严重的恶意攻击 API需要纵向保护 https://cn-sec.com/archives/1515804.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: