到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
顶 安全邦推动航天科工集团网络安全建...
近期,国家网络安全周如火如荼地举行,网络安全已成为国家、企业和个人关注的焦点。作为网络安全领域的知名企业,我司安全邦(北京)信息技术有限公司一直致力于为各行各业
惊心一刻!网络安全盲点曝光:随处...
当危险穿上“隐身衣” 想象一下,当你走进会议室,手机发现有免费的可用WiFi,手机顺理成章立刻连接,毫无预兆你的手机就被“绑架”了,这时你的浏览记录、用户账号密
阔步迈向网络强国丨更好造福国家和...
“现在信息技术飞速发展,颠覆性技术随时可能出现,要走求实扎实的创新路子”。近日,习近平总书记在江苏南京考察时,来到紫金山实验室,走进展厅、6G综合实验室,详细了
2023年网络安全十大发展趋势发...
近日,中国计算机学会(CCF)计算机安全专委会中,来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2023年网络安全十大发展趋势。
国家级反诈行动启动:七大利器助力...
近年来,公安部会同工信部、中国人民银行持续深入推进打击治理电信网络诈骗违法犯罪工作,综合采取多种防范措施,最大限度预防案件发生、减少群众财产损失,联合推出了七大
《2022-2023年度中国安防...
据了解,《2022-2023年度中国安防行业调查报告》是以整体安防行业信息为起始,涵盖整个行业概况、安防各子系统、企业概况、市场热点等几个维度的解读,以期给从业
Chat GPT账户泄露引发担忧...
在当今数字时代,人工智能技术的迅猛发展引发了诸多令人兴奋的创新。Chat GPT(Chat Generative Pre - trained Transform
关于举办2023第五届中国电子政...
由中国信息协会主办,信息化观察网、中国信息协会传媒中心共同承办的“2023第五届中国电子政务安全大会”将于8月16日在北京召开。详情请浏览专题:https://
人工智能在日常生活中的利弊
人工智能:它是社会最新的宠儿和反派。人工智能是创意人员、时间紧迫的人的最新好朋友,不幸的是,它是在线诈骗者的最新伙伴。像ChatGPT,Craiyon,Voic
您今天可以做的 10 件简单事情...
随着网络威胁和违规行为的数量占据头条新闻,覆盖所有网络安全基础似乎是一项艰巨的任务。我们知道这个网络安全意识清单上有十个部分,但不需要花费几个小时来勾选每个框。
到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
顶 安全邦推动航天科工集团网络安全建...
近期,国家网络安全周如火如荼地举行,网络安全已成为国家、企业和个人关注的焦点。作为网络安全领域的知名企业,我司安全邦(北京)信息技术有限公司一直致力于为各行各业
惊心一刻!网络安全盲点曝光:随处...
当危险穿上“隐身衣” 想象一下,当你走进会议室,手机发现有免费的可用WiFi,手机顺理成章立刻连接,毫无预兆你的手机就被“绑架”了,这时你的浏览记录、用户账号密
阔步迈向网络强国丨更好造福国家和...
“现在信息技术飞速发展,颠覆性技术随时可能出现,要走求实扎实的创新路子”。近日,习近平总书记在江苏南京考察时,来到紫金山实验室,走进展厅、6G综合实验室,详细了
2023年网络安全十大发展趋势发...
近日,中国计算机学会(CCF)计算机安全专委会中,来自国家网络安全主管部门、高校、科研院所、大型央企、民营企业的委员投票评选出2023年网络安全十大发展趋势。
国家级反诈行动启动:七大利器助力...
近年来,公安部会同工信部、中国人民银行持续深入推进打击治理电信网络诈骗违法犯罪工作,综合采取多种防范措施,最大限度预防案件发生、减少群众财产损失,联合推出了七大
《2022-2023年度中国安防...
据了解,《2022-2023年度中国安防行业调查报告》是以整体安防行业信息为起始,涵盖整个行业概况、安防各子系统、企业概况、市场热点等几个维度的解读,以期给从业
Chat GPT账户泄露引发担忧...
在当今数字时代,人工智能技术的迅猛发展引发了诸多令人兴奋的创新。Chat GPT(Chat Generative Pre - trained Transform
关于举办2023第五届中国电子政...
由中国信息协会主办,信息化观察网、中国信息协会传媒中心共同承办的“2023第五届中国电子政务安全大会”将于8月16日在北京召开。详情请浏览专题:https://
人工智能在日常生活中的利弊
人工智能:它是社会最新的宠儿和反派。人工智能是创意人员、时间紧迫的人的最新好朋友,不幸的是,它是在线诈骗者的最新伙伴。像ChatGPT,Craiyon,Voic
您今天可以做的 10 件简单事情...
随着网络威胁和违规行为的数量占据头条新闻,覆盖所有网络安全基础似乎是一项艰巨的任务。我们知道这个网络安全意识清单上有十个部分,但不需要花费几个小时来勾选每个框。