随着企业数字化转型的发展,企业内部应用逐渐由单一架构发展为低耦合、高内聚的服务网格架构,在当前架构下,业务应用内部的数据交换大量采用API的方式进行连接。且随着越来越多的数字化应用崛起,API上所承载的数据安全问题也逐渐暴露,因此,API安全将很大程度决定企业当下业务的安全性。
API资产理不清存在的风险点
据《Salt Labs State of API Security Report, Q3 2022》报告,在用户最关心的API安全问题中,“僵尸”API以42%占比高居第一,远超过以25%的占比位居第二的账户接管/账户滥用,还有83%的受访者对组织API 资产清单是否完整没有信心。
由于业务下线或业务版本升级等原因导致的一些废弃API未能及时关闭下线,且这些API也长期无人访问与维护,此类API被称为“僵尸”API。
为何用户对“僵尸”API及API清单完整度有如此大的担忧?安全的隐患往往是始于“未知”,未知的“僵尸”API、过期API、失效的API参数等,根本的原因在于企业对自身API资产的不清晰。企业安全的管理与防护需建立在“已知”和“可见”的前提条件下,对于未知的、不可见的API资产安全状况则难已掌控,然而就是这些未知的、不可见的API资产往往潜藏着未被修复的漏洞。
API资产的管理不足,导致API的上线及下线缺乏监管,大量僵尸API的出现,同时也对企业内部的API安全带来重大隐患。
资产管理难点分析
传统上,API资产的统计与管理主要通过两种方式进行:
API资产管理建议
在采用任何安全保护手段之前,企业面临的第一个问题是:到底有哪些API资产。目前绝大多数的企业虽然都建立有公司内部的API台账,如通过开发、部署文档记录了API的类型、参数等,但随着开发团队的变更、版本的升级、业务不断发展的情况下,API文档可能已经长期未进行更新,导致管理者对API资产无法完全掌握。
API资产的梳理主要通过两种方式进行:
1. 采用流量识别技术自动化发现API、参数和数据类型并将发现的资产信息录入管理系统;
2. 采用人工主动报备的方式,将测试环境与临时环境中,使用过且未关闭的API进行统计并纳入管理。
通过自动发现和主动报备之后,应当及时给API资产打上对应的标签,需要给API资产标记出API所属的系统、环境类型、业务类型、内部/外部API等。通过对API资产进行标记化处理,为后续的API资产分类管理和安全等级做准备。
推荐阅读
Recommended
>API专题(一) | 数字化转型下企业的API安全剖析
>北京市委网信办发布网络安全技术支撑单位遴选结果,梆梆安全成功入选
原文始发于微信公众号(梆梆安全):API安全专题(二)| API资产的发现与管理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论