随着云计算、移动互联网和物联网的蓬勃发展,API的使用规模也在逐渐扩大。早在2021年7月,Gartner就预测2022年,应用程序编程接口(API)将成为最常见的攻击载体。如今,API安全已然成为了当下企业面临的最严峻的网络安全挑战之一。当我们谈论API安全性时,我们指的是用于保护API及其传输数据的措施和实践,包括未经授权的访问、对DDoS的不良反应或其他恶意攻击。
API保护是一门艺术:要正确操作,需要将技术和组织流程微妙结合。
在技术方面,可以采用身份验证和授权、加密、自动测试和监控等措施。在企业方面,需要确切知道API到底在为谁服务,相应定制访问权限。针对外部API,企业需要知道外部的哪些数据可用,以及如何策划和呈现这些需要的数据。
当企业尝试去保护API时,需要有一个条理性的操作顺序,以识别和管理API。
首先,可以对每一个API进行编码。这样做可以让企业时刻保持API库存的更新,对于开发人员来讲,能够方便、快速、安全地进行网站开发。同时,为了避免API发生蠕变,每个API都应该注册以下信息:
-
名称
-
用于构建API的工具和软件包
-
API运行的服务器
-
依赖该API的服务
-
有效用途和错误代码
-
绩效指标
-
预期正常运行时间或停机窗口
以上所有信息都应该进入由专业网络安全团队管理的存储库。
其次,对每个API进行自动化检测。根据以上的信息,网络安全团队或专业检测团队可以定期对API进行测试。通过检测,可以时时刻刻地观察API数据变化,保证其安全性和可靠性。
最后,将API安全添加到企业威胁预防策略中。当发现用于构建API的工具或软件包存在错误时,那么与它相链接的任何协议都应该被认为是不安全的,企业需要关闭受影响的所有设备。
API保护措施
当进行渗透测试或保护API时,可以参考以下这些方法:
03 身份验证和安全环境。与其他任何服务一样,在使用API之前,进行需要经过杀毒,保持良好的网络环境,可以防止代码注入、缓冲区溢出等安全风险。为特定用户群的API设计一定程度的身份验证。当然,在如今这个时代,身份验证不一定是唯一的密码,也可以选择生物识别技术。总之,企业应该选择最适合的方法并进行定期测试。
当然,加密和数字签名也是一种保护措施。API接口需要加密,并且在发送或接收已知实体(大小、内容等)的文件时,检测或校验也是不可缺失的。
响应API攻击
基本规则是:如果API访问失败,就应该立刻停止访问。因为在开放或可访问的状态下,是不会失败的。所以,应该立即限制速率,然后保持错误状态。同时,也需要制定一些特定的API攻击,遵循SOP(标准作业程序),不可偷工减料。
对于某些基础设施不完善的企业来讲,创建一个API安全系统,让安全测试自动化,可以持续有效保证API库存的最新状态,保证API的安全性。
安全419编译
https://www.darkreading.com/dr-tech/api-security-is-the-new-black
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
原文始发于微信公众号(安全419):面对愈加严重的恶意攻击 API需要纵向保护
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论