当组织考虑应用程序编程接口(application programming interface,API)的安全性时,他们通常将重点放在保护内部编写的API。然而,并非所有公司使用的API都是内部开发的,有些是由其他组织设计和开发的。问题是,许多公司没有意识到使用第三方API会使其应用程序面临如恶意软件攻击、数据泄露和未经授权访问等安全问题。
第三方API是允许组织在自己的网站或应用程序上利用第三方功能或数据的软件接口。技术研究和咨询公司ISG的网络安全主管Phil Quitugua表示,这些第三方API使开发人员能够将其应用程序或系统与外部服务、数据或功能集成。
一些流行的第三方API包括导航应用程序、社交媒体平台和数字支付处理工具。DataDome产品副总裁Paul Scanlon表示,谷歌或脸书等第三方提供的API可以让用户在自己的网站或应用程序上访问他们的数据或功能。通过使各种设备和应用程序能够通过各种通信协议交换信息,API可以帮助开发人员更容易、更高效地创建出色的用户体验。
但是,API的普遍性和普及性是导致安全问题的致命弱点——根据Salt security发布的《API安全状况2023年第1季度报告》,在过去一年中,约94%的公司在应用第三方API中遇到了安全问题,17%的公司遭受了与API相关的违规行为。因此,组织应用第三方API要重视安全性。
NCC集团工业和运营技术实践总监Jim McKenney表示,第三方API需要强大的安全性,因为它们可能是造成安全事件的主要因素。如果它们不安全,就很可能会泄露敏感数据或导致原始软件出现问题。
“安全的API能够保护程序之间的通信免受网络威胁,如OpenStreetMap的AP。”McKenney表示:“它可以应对恶意攻击、未经授权的访问以及API滥用等问题。安全的API是应用程序对话的前提。”
凯捷旗下Sogeti洞察力和数据副总裁Doug Ross表示,第三方API安全涉及身份验证、授权、加密和监控等措施,以确保API及其数据的隐私、完整性和可用性。Ross认为,API安全性是软件开发的一个关键方面,因为API经常充当不同系统之间的桥梁,并且越来越多地用于交换敏感和关键信息。
综上所述,确保第三方API的安全性至关重要。首先,API可以访问敏感信息,例如用户数据或支付信息。同时,如果第三方API遭到破坏,可能会导致数据泄露,从而影响用户和租住。此外,不安全的API可能会使应用程序或系统暴露于漏洞和攻击之下,从而可能导致系统故障或对资源的不当访问。
第三方API的安全性在维护合规方面也很重要,因为许多行业都对数据保护和隐私有严格的规定,例如欧盟的《通用数据保护条例》(GDPR)和美国的《健康保险便携性和责任法案》。确保第三方API的安全有助于组织遵守这些法规,避免监督机构的处罚。
涉及第三方API的安全漏洞可能会损害公司的声誉,导致客户失去信任,并可能影响业务合作伙伴关系。对此,以下是确保第三方API安全的五种最佳做法:
Bionic安全研究员Jacob Garrison表示,建立一个随着代码更改而自动更新的API库是API安全的重要第一步。首先,API库能够帮助组织区分第一方和第三方的API。其次,它还能够在不通知安全团队的情况下对引入的影子IT(特别是API)进行持续监控。为了确保组织的API库安全可操作,组织应该跟踪那些API传输的关键信息,如个人身份信息和支付卡数据。
API库是对第三方风险管理的补充。当开发人员使用第三方API时,首先考虑供应商的风险评估。例如,假设组织的数据工程团队想将个人身份数据发送到Tableau进行分析。在这种情况下,首先要评估该供应商的安全态势是否在组织的风险承受能力范围内。
Invicti security的首席技术和安全研究主管Frank Catucci表示认可,包括第三方API的库至关重要。Catucci认为,组织需要让第三方API成为整个API库的一部分,对此,租住必须将它们视为自身拥有的、负责的资产。因此,准确统计哪些API在哪里运行以及它们在做什么是重要的第一步,因为你无法保护你不知道的东西。
McKenney表示,组织应选择信誉良好、安全措施强的供应商,并具备检测API活动中的可疑行为及使用加密的能力。例如,只使用来自可信提供商的支付处理API,定期监视API日志中的任何异常活动,并确保通过API发送的所有敏感数据都已加密。
Lexmark首席信息安全官Bryan Willett表示,在与第三方的过程中,建立供应商安全管理流程很重要。Willett表示,这个过程应该与组织的采购过程紧密结合,这样所有供应商和合同都能通过这个过程。“该流程应包括几个子流程,包括供应商风险评估、供应商安全评分、持续监控以及合同审查,以确保条款符合组织的风险承受能力。
Willett表示,组织必须建立其供应商的通用安全控制以及第三方API生命周期不同阶段的安全控制,以确保适当的保护符合其风险承受能力。
例如,组织如果希望看到安全开发生命周期在组织文化中根深蒂固,那么就应该从培训到整个交付过程中都要强调这一点,以确保从一开始就考虑安全。Willett表示,其中应该包括解决供应商开发的源代码和产品中包含的开源库所带来的风险。
供应商应该具备良好的安全测试实践,使用最新的工具来执行静态代码分析、模糊测试和漏洞扫描。在运营阶段,组织同供应商应该对数据进行适当的访问控制,并实施零信任原则。供应商还应该有成熟的漏洞管理程序来监控操作环境中的补丁程序,并就何时修补漏洞达成明确的服务级别协议。
尽管组织没有编写第三方API,也没有控制它们,但Catucci表示,他们仍然应该像测试自己开发的API一样测试它们。例如,公司可以使用动态应用程序安全测试功能来扫描第三方API中可能存在的已知漏洞、易受攻击的组件或过期组件。即便是组织不希望拥有第三方API,也应该测试他们,如果在这个过程中能够发现第三方API存在特定漏洞,那么就可以阻止该功能或在修复之前不使用该API。
Willett表示,另一个需要考虑的方式是轮换API密钥。当用户调用第三方API时,他们必须为其请求提供一个唯一的字符串,称为密钥。此字符串告诉供应商哪个客户正在拨打电话。定期更换密钥是必要的,首先,一个攻击者拦截了API密钥,然后他们可以代表组织生成请求。根据第三方使用的安全协议,这个密钥可能足以提取与组织的帐户相关的敏感信息。其次,第三方API很费钱。API密钥可以用于计费。攻击者可以使用密钥快速触发API请求以增加账单。出于以上两个原因,组织应该定期轮换密钥。
基于API的攻击非常复杂,因此也需要同样强大的防御。ThreatX安全战略总监兼现场首席信息安全官Jeremy Ventura表示,更重要的是,第三方漏洞现在比以往任何时候都更加突出。
Ventura表示,像Peloton和Nissan这样的许多引人注目的安全漏洞都是由未受保护的API造成的。攻击一个组织的供应链对想要进入组织内部的网络罪犯来说非常有吸引力。
因此,公司必须了解,第三方API安全威胁不仅是一个IT问题,也是一个影响所有相关组织和客户的核心业务问题。
原文始发于微信公众号(安在):保障第三方API安全的5种最佳做法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论