到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
移动间谍软件 — 如何让跟踪者远...
当您最终使用移动间谍软件时,您的手机上可能会遇到跟踪者。 在最恶意的形式中,移动间谍软件可以窃取短信和照片等信息,在您点击密码时捕获密码,秘密打开麦克风或摄像头
我把手机放在哪里了?保护您的手机...
也许你太了解那种沉沦的感觉了。“我把手机放在哪里了?” 当你在房子周围搜索时,几分钟过去了,然后你进入车库,在驾驶座和汽车控制台之间寻找。没有运气。所以它回到房
避免敲诈勒索:更安全的在线购物的...
每个人都喜欢在网上购物。直到他们发现有些是敲诈勒索。 复古服装的社交媒体广告。家庭娱乐设备的网站广告。搜索手提包广告。其中一些广告并不是看起来的那样。广告不会引
如何限制手机上的位置跟踪
我们都知道手机对我们有很多了解。当然,它们对我们的去向也有很多了解,这要归功于它们可以通过多种方式跟踪我们的位置。 手机上的位置跟踪提供了很多好处,比如使用应用
如何识别在线诈骗
这是一个特别忙碌和丰富多彩的一周,我收到了十几封我们已确定为诈骗的短信或电子邮件。范围很广:从写得不好的电子邮件提供“必须有”的购物优惠到谴责我们逾期通行费的简
保护您的设备和私人信息免受勒索软...
想象一下,您想在计算机上提取某个文件。您单击该文件,屏幕上突然闪现一条通知,提示您的计算机已受到威胁,要取回文件,您需要付费。这被称为勒索软件,一种不再为千万富
如何保护自己免受网络钓鱼诈骗
如何防止勒索软件
勒索软件。连名字听起来都吓人。 仔细想想,勒索软件是黑客可以发起的最恶劣的攻击之一。它们针对的是我们最重要和最宝贵的一些东西——我们的文件、照片和存储在我们设备
为什么在使用公共 Wi-Fi 时...
如果您像大多数人一样,无论是在旅途中还是在旅途中,都喜欢保持联系。这就是为什么人们很想连接到免费的公共 Wi-Fi 网络,但您应该知道,这些网络可能会让您面临一
什么是零日威胁?
“零日威胁”一词听起来像是一部热门电影的片名,但绝对不是那种惊悚片。零日威胁或攻击是您的计算机或移动设备的软件或硬件中的未知漏洞。该术语源自漏洞利用的年龄,它发
到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
移动间谍软件 — 如何让跟踪者远...
当您最终使用移动间谍软件时,您的手机上可能会遇到跟踪者。 在最恶意的形式中,移动间谍软件可以窃取短信和照片等信息,在您点击密码时捕获密码,秘密打开麦克风或摄像头
我把手机放在哪里了?保护您的手机...
也许你太了解那种沉沦的感觉了。“我把手机放在哪里了?” 当你在房子周围搜索时,几分钟过去了,然后你进入车库,在驾驶座和汽车控制台之间寻找。没有运气。所以它回到房
避免敲诈勒索:更安全的在线购物的...
每个人都喜欢在网上购物。直到他们发现有些是敲诈勒索。 复古服装的社交媒体广告。家庭娱乐设备的网站广告。搜索手提包广告。其中一些广告并不是看起来的那样。广告不会引
如何限制手机上的位置跟踪
我们都知道手机对我们有很多了解。当然,它们对我们的去向也有很多了解,这要归功于它们可以通过多种方式跟踪我们的位置。 手机上的位置跟踪提供了很多好处,比如使用应用
如何识别在线诈骗
这是一个特别忙碌和丰富多彩的一周,我收到了十几封我们已确定为诈骗的短信或电子邮件。范围很广:从写得不好的电子邮件提供“必须有”的购物优惠到谴责我们逾期通行费的简
保护您的设备和私人信息免受勒索软...
想象一下,您想在计算机上提取某个文件。您单击该文件,屏幕上突然闪现一条通知,提示您的计算机已受到威胁,要取回文件,您需要付费。这被称为勒索软件,一种不再为千万富
如何保护自己免受网络钓鱼诈骗
如何防止勒索软件
勒索软件。连名字听起来都吓人。 仔细想想,勒索软件是黑客可以发起的最恶劣的攻击之一。它们针对的是我们最重要和最宝贵的一些东西——我们的文件、照片和存储在我们设备
为什么在使用公共 Wi-Fi 时...
如果您像大多数人一样,无论是在旅途中还是在旅途中,都喜欢保持联系。这就是为什么人们很想连接到免费的公共 Wi-Fi 网络,但您应该知道,这些网络可能会让您面临一
什么是零日威胁?
“零日威胁”一词听起来像是一部热门电影的片名,但绝对不是那种惊悚片。零日威胁或攻击是您的计算机或移动设备的软件或硬件中的未知漏洞。该术语源自漏洞利用的年龄,它发