欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
SoftwareAGGov关于API安全性的五个最佳实践
-
API 安全性应用程序安全 (AppSec) 测试工具的适用性(或不适用性)的看法
-
如何保护合作伙伴 API 与 OAuth mTLS 集成
-
在选择 API 工具时应注意什么
API 安全的五个最佳实践
本周首先是来自 SoftwareAGGov 团队的一篇文章,内容是他们对 API 安全性的五个最佳实践的建议。
今天,大多数公司都在使用应用程序编程接口 (API) 来支持其支持各种工人的大量技术。此外,网络犯罪分子比以往任何时候都更加精明。因此,需要极其复杂、一流的 API 安全性来确保他们的 API 网关系统在他们的人力与技术一起工作时受到保护。这些技术范围从数字协作平台到支持物联网的设备。
API 在日常生活的几乎每个方面都错综复杂。它们现在是渴望推动创新的公司的核心技术。他们的 API 管理工具改变了组织管理团队、资源和产品的方式。此外,公司现在正在做 API 集成。公司还需要优先考虑 API 安全性。
由于 API 在公司中至关重要,因此 API 安全性也至关重要,因为还会有更多的安全漏洞。为确保 API 的安全性,必须与有经验的公司合作来帮助您。
Gartner 预测,到今年 API 将成为黑客渗透企业 Web 应用程序的更频繁的攻击媒介。如果您的代理机构处于制定 API 安全策略的初期阶段,您还必须使用 API 安全最佳实践,具体如下:
他们的五个最佳实践是:
• 了解您的数据:API 主要是数据传输的渠道,API 安全性应该从关注数据开始:您拥有什么数据,这些数据有多敏感,以及谁应该有权访问 iy?谨防由于过于冗长的日志记录或 API 响应意外泄露私有数据(这是API3:2019 — 过度数据暴露,一个经常遇到的 API 漏洞)
• 了解您的 API:正如作者所说, “您必须知道自己拥有什么才能知道要保护什么。” 完整且准确的 API 清单对于解决 API 安全问题至关重要。特别要注意您的影子 API(隐藏 API)或僵尸 API(已弃用或不受支持的 API),它们会带来无法量化的风险。
• 了解您的用户:强大的身份验证对于确保用户是他们所说的身份以及他们只能访问自己的资源至关重要。定期测试您的身份验证框架并确保应用精细的访问控制。
• 了解您的工具:良好的 API 安全性依赖于选择和使用各种 API 安全工具,包括 API 管理平台和 API 网关。确保充分利用安全功能,并注意覆盖范围内的空白。纵深防御策略是良好安全性的关键。
• 保护一切:再次,通过在各个级别应用控制和措施,采取多管齐下的 API 安全方法。
将 AppSec 工具用于 API
Contrast Security 的创始人兼 CTO Jeff Williams 也是 OWASP 的创始人之一,在软件安全行业有超过 20 年的经验,所以他在 API 安全这个话题上的发言是值得一听的。在他最近的博客文章中,他探讨了使用传统 AppSec 工具(例如静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST))来实现 API 安全性的适用性和有效性这一颇具争议的话题。
他首先研究了 DAST 是否适合测试 API。这里的第一个问题是 DAST 工具缺乏如何解释 HTTP 响应的知识:如果进行了注入攻击,扫描程序如何知道攻击是成功还是失败?如果HTTP 500返回错误,是否发生了注入攻击,或者 API 之前是否由于输入格式错误而失败?另一个问题与 DAST 扫描器无法创建有效的 API 输入以充分行使(和利用)API 有关。这会导致高误报——DAST 在扫描 API 时往往找不到太多。
其次,他对 SAST 在 API 源代码中找到有意义且可操作的发现的能力持暗淡的看法。SAST 在源代码中没有数据流的上下文,并且经常无法检测 API 入口点,从而丢失了可能的攻击向量。SAST 经常突出显示源代码中的问题,这些问题在应用程序的上下文中被证明是误报。
保护合作伙伴 API 与 OAuth mTLS 的集成
一篇来自 Cloudentity的深入技术文章,内容是使用他们的平台保护合作伙伴 API 与 OAuth mTLS 的集成。
作者探索了两种常见的方法来保护 API 集成:mTLS 模式下的不记名令牌和证书。不记名令牌可用于授权客户端访问 API,但它们有一个明显的问题,即任何有权访问该不记名令牌的人都可以访问 API。另一方面,证书的使用提供了强大的身份验证,但缺乏提供更细粒度授权的能力,就像具有范围的访问令牌可以做到的那样。
为了克服这些方法中固有的弱点,作者建议将两者结合起来,即使用相互 TLS 的 OAuth 客户端身份验证,通过自签名证书或公钥基础设施 (PKI)。
这种方法提供了两个主要好处:
• 一个 mTLS 令牌端点,具有用于访问令牌的 mTLS/自签名客户端身份验证方法
• 具有范围访问权限的证书绑定访问令牌
在 API 安全工具中寻找什么
总结本周,我们有 一篇来自 DZone 的文章,内容是在 API 安全工具中寻找什么。甚至在开始评估工具之前,组织就应该从他们的最终目标是什么这个问题开始。他们是否希望实现合规、降低风险或履行合同义务?了解目标将为决策过程提供信息。
下一个关键考虑因素是如何操作和部署该工具。您会在内部建立团队、使用外部专家还是使用供应商资源?这个因素会对总拥有成本产生重大影响。
针对 API 安全性,作者提出以下标准:
• OWASP API Security Top 10 检测
• 运行时保护
• API 库存
• 模糊测试
• 报告
最后,作者在今天的第一篇文章中提出了同样的观点:没有一个工具可以解决所有问题,因此找到最适合您需求的工具组合是关键。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | 关于API 安全的五个最佳实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论