欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
一篇关于凭证泄漏导致API漏洞上升的文章
-
一篇关于讨论API网关安全性的文章
-
一篇关于PCI DSS 4.0对API安全影响的文章
凭证泄漏导致API漏洞上升
-
缺乏对现有API组合的可视性; -
使用的API数量太多难以跟踪; -
低估了管理API凭证所需的时间和精力。
这种解决方案有三个优点:
- 可以进行微段隔离,防止网络中的横向传播;
- 降低MFA疲劳的风险;
- 消除凭证轮换问题,因为盗窃或泄漏的凭证无法在满足MFA要求之前使用。
小阑认为:
随着API数量的不断增加以及对API安全性的增强需求,MFA将成为一个不可或缺的安全措施。同时,还需要考虑到人工智能和自动化技术等方面的发展,以便找到更好的方法来管理API凭证,并确保API的安全。
你的API网关有多安全?
文章提出有四个因素对API网关整体安全性产生影响:
- API网关一般是在开源实现和私有源代码之上构建的。因此,企业需要使用现代软件材料清单(SBOM)技术来管理整个软件堆栈中的漏洞,以便更好地了解API网关的风险。
- 除此之外,还需要考虑API网关如何与其他安全防护措施(如Web应用程序防火墙、全局防火墙和负载均衡器、监控平台)集成。这种紧密集成对于保证应用程序的高性能非常重要,并且需要尽量减少在部署混合多云环境时对操作团队的影响。
- 大型企业应该考虑在整个组织中执行相同的策略可能会遇到的问题,特别是当技术堆栈非常异构的时候。这会导致不同反向代理以不同方式实现相同的策略,从而导致微妙但重要的差异。这种时候的解决方法是,确保在购买前进行彻底的概念验证(PoC)。
- 最后需要特别关注API网关的速度(延迟),这对长期使用和其安全性至关重要。如果选择的API网关性能不佳,那么API团队最终会寻求调整策略,甚至在极端情况下完全绕过API网关。因此,API的性能通常是API网关成功的关键因素之一。
小阑解读:
API网关的访问控制通常以身份验证机制开始,以便确认调用的来源。目前,最受欢迎的网关验证协议是OAuth,它充当访问基于Web的资源的代理而不向服务公开密码,基于密钥的身份验证在用于企业时,也有丢失数据的案例,还不能百分之百保证密钥完全保密。
API网关的优势:
-
在统一的位置管理和实施;
-
将大部分问题外部化,因此简化了API源代码;
-
提供API的管理中心和视图,更方便采用一致的策略;
-
容易出现单点故障或瓶颈;
-
由于所有API规则都在一个位置,因此存在复杂性风险;
-
被锁定的风险,日后系统迁移并不简单。
安全性是公司首要考虑基础架构中投入的头号关注点。但是,它也是现有API开发者最容易忽视的领域。因为很多公司正在自己构建API作为产品,以部署Web,移动客户端,物联网和其它应用程序,在整个过程中的每一步都须正确保护,API网关是最有效的解决方案之一。
PCI DSS 4.0对API安全的影响
- 6.2 – Bespoke and custom software are developed securely.
这是采用安全SDLC或采用“左移”开发的指导。对于API开发,开发人员必须尽早了解安全需求,并在整个生命周期中使用安全开发方法。
- 6.2.3 – Bespoke and custom software is reviewed prior to being released into production or to customers, to identify and correct potential coding vulnerabilities.
该条款指导开发人员使用代码审核(包括OAS定义和API代码)来确保尽可能大程度上减少编码漏洞。这些审核可以在开发生命周期的各个阶段自动进行。
- 6.2.4 – Software engineering techniques or other methods are defined and in use by software development personnel to prevent or mitigate common software attacks and related vulnerabilities in bespoke and custom software.
在API上下文中,该控件指示使用高级测试方法来识别针对API的各种软件攻击。建议的最佳实践是使用特定的API测试来检测众所周知的漏洞类型(如损坏的对象级别授权和损坏的身份验证),主要是使用自动化测试(专用的API安全扫描工具)或通过定制渗透测试。
- 6.4 Public-facing web applications are protected against attacks.
该标准规定应保护面向公众的API免受攻击,通常通过API网关或专用API防火墙。
小阑认为:
API安全的重要性不言自明,它涉及到数据和信息的保护、合规性以及竞争优势等多个方面,是每个企业在数字化转型过程中必须认真对待和加强的重要环节。随着数字化与智能化进程的加速推进,API成为不同系统、应用和数据的粘合剂,承担着越来越多的业务功能。而这些业务功能往往包括金融交易数据、个人信息等涉及个人隐私和商业机密的数据。因此,确保API的安全性不仅是企业信息安全管理的重要一环,更是整个数字时代信息安全和隐私保护的基石。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、开放式数据平台、运营与响应能力,解决企业API漏洞入侵、行为异常、数据泄露等核心风险。
原文始发于微信公众号(星阑科技):API NEWS | 凭证泄漏导致API漏洞上升
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论