近年来,随着企业纷纷积极拥抱数据数字智能的浪潮,作为数据交换重要信道的API正承载着企业越来越复杂的核心业务逻辑和多样化的敏感数据。正因如此,通过API进行业务欺诈、窃取高价值数据等已经成为非法分子的常规手段,API已经成为黑灰产及黑客的首选攻击目标。因此,明确API安全最佳实践,企业才能搭建更完善的防护体系。
攻击者如何以 API 为目标
● DDoS:DDoS 攻击请求大量连接,消耗网络带宽或系统资源,导致网络或系统不胜负荷而停止提供正常的网络服务,API及向API提供数据的后端系统也会受其影响
● 中间人(MITM)攻击:攻击者插入到用户和 API 端点之间的对话中,窃听或冒充其中一方以窃取或修改私人数据时,就会发生MITM攻击。
● 访问令牌或 API 密钥管理不善:访问令牌和API密钥是授予用户访问权限的有效凭据。如果遭到入侵,很可能会被未经授权的各方滥用以访问私有系统。
● 凭据未加密:部分程序中,用户名和密码会被硬编码到未加密的配置文件里,攻击者通过访问应用程序的字节码并利用一些反编译工具就能轻易获得密码。
五种API安全最佳实践
01
评估企业流程和基础架构
随着企业在本地或云设置中越来越多地去使用高度连接的 API 和云服务,评估其安全性必须包含以下几点:
● 面向客户的 API:通过API,企业无需客户访问底层数据库或系统就可以达到共享信息的目的,同时,还可以限制客户访问的内容,仅显示特定的数据段。
● 内部 API:低进入门槛使任何员工都可以使用云服务,但IT 团队必须确保API服务同步进行以便实现安全访问管理。
此外,企业还需明确其基础架构是否合规,避免因违法违规行为造成企业损失。
02
将数据迁移到云
有一种看法认为,切换到云服务会使企业更容易受到网络安全事件的影响。但实际上,过渡到云可以为低预算和低人力资源的中小型企业提供高级别的安全性。
03
管理访问权限
企业应该根据职能和需求划分访问权限,例如,开发人员并不需要完全访问会计或人力资源系统。通过限制访问,可以降低敏感信息被错误泄露的可能性。企业还可以设置特定凭据,授予用户或员工临时访问权限。
04
多重身份验证
当涉及用户名和密码的登录凭据已不再足以保证安全性时,采用双因素身份验证 (2FA) 或使用 OAuth 标准等进行安全身份验证势在必行。
05
将证书密钥保存在密钥库中
在安装软件时,企业需要确保自身使用的是具有 HTTPS 安全通信所需证书的可信密钥库。例如,如果想要启用本地客户端和代理服务器之间的安全通信,可能就必须在 Java 密钥库中包含新证书以确保安全性。
实际上,对安全构成潜在风险的不仅仅是API,所有具有外部“表面”的东西都可能成为不良行为者的目标。正因为如此,保持 "零信任 "的心态并与安全供应商维持良好的合作关系对保护数据、预防网络攻击至关重要。针对目前API防护方面存在的短板,安全419注意到,威胁猎人的API安全管控平台能够提供API资产动态可视化、API数据流动可视化、API风险可视化以及API行为可视化,有效应对新威胁、新风险,提高整体业务安全性。
安全419编译
https://www.helpnetsecurity.com/2023/05/03/apis-security-risk/
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
原文始发于微信公众号(安全419):5种API安全最佳实践 搭建更完善的防护体系
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论