到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
顶 政企单位最易忽视的5大网络安全漏...
政企单位最易忽视的5大网络安全漏洞——来自“安全邦”安全服务专家的实战洞察 “在近期为中国农业科学院生物技术研究所开展的网络安全培训中,我们发现90%的漏洞源于
顶 航天守护,网安同行 —— 中国航...
【筑梦航天,安全先行】在这个科技日新月异的时代,网络安全不仅是数字世界的防线,更是国家航天事业的坚实后盾。中国航天科工集团第二研究院,作为我国航天事业的
助力昌平区网络安全建设专题培训圆...
当勒索病毒突然爆发导致系统锁死,当敏感数据意外泄露引发合规风险,当核心业务中断影响正常运转,一份科学完善的网络安全应急预案与扎实的应急演练能力,就是守护单位平稳
安全邦受邀开展北京青年宫网络安全...
安全邦受邀开展北京青年宫网络安全培训共筑信息安全防线基于对网络安全防护工作的重视及实际办公场景的安全需求,北京青年宫主动向安全邦发出诚挚邀请,希望借助安全邦在网
2025网络安全事件盘点:当数字...
一、开篇:藏在手机里的 “身边陷阱”“扫码领社保补贴” 的弹窗突然弹出,“本地发生重大事故” 的视频刷满朋友圈,“AI 预测彩票中奖” 的广告精准推送 ——20
网络安全法迎重要更新!2026 ...
在数字时代,网络安全早已不是陌生的话题,小到个人手机里的信息保护,大到关键设施的网络防护,都离不开法律的保驾护航。近期,《中华人民共和国网络安全法》完成重要修改
2025等保新规落地:企业如何从...
近日,网络安全领域迎来重要政策更新 —— 继年初相关指导文件发布后,最新的网络安全等级保护细化规则正式落地,标志着我国网络安全防护从 “形式备案” 全面转向 “
网络安全领域制度优化解读:企业合...
一、制度优化背景:回应数字安全新需求2017年《网络安全法》实施以来,我国数字空间环境持续演变,数据泄露、新型网络风险等问题日益突出,原有制度条款已难以满足数字
组件安全合规实践指南:构建企业数...
在数字化转型加速推进的背景下,企业系统构建高度依赖第三方组件,其安全合规已成为保障业务连续性的关键基石。本文基于行业最佳实践,从管理框架、技术落地、全生命周期管
政策强约束下的组件安全:2025...
2024 年底至 2025 年初,网络安全领域政策持续加码,其中《网络安全审查办法》的深化实施与配套解读(2024 年 12 月商务部修订版)最受关注。这份覆盖
到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。
应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。
可以公平地说,当今构建的几乎所有软件都使用API或使用API。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。
在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。
随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。
预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。
在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。
API优先的安全策略是什么样的?以下是五个观察结果:
1.高可见度至关重要。
API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。
这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。
2. REST API是一个日益增长的目标。
REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。
组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。
3.加密所有数据是关键。
这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”
4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。
凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。
Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。
5.自动检查应该是标准做法。
如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。
与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?
我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。
正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。
顶 政企单位最易忽视的5大网络安全漏...
政企单位最易忽视的5大网络安全漏洞——来自“安全邦”安全服务专家的实战洞察 “在近期为中国农业科学院生物技术研究所开展的网络安全培训中,我们发现90%的漏洞源于
顶 航天守护,网安同行 —— 中国航...
【筑梦航天,安全先行】在这个科技日新月异的时代,网络安全不仅是数字世界的防线,更是国家航天事业的坚实后盾。中国航天科工集团第二研究院,作为我国航天事业的
助力昌平区网络安全建设专题培训圆...
当勒索病毒突然爆发导致系统锁死,当敏感数据意外泄露引发合规风险,当核心业务中断影响正常运转,一份科学完善的网络安全应急预案与扎实的应急演练能力,就是守护单位平稳
安全邦受邀开展北京青年宫网络安全...
安全邦受邀开展北京青年宫网络安全培训共筑信息安全防线基于对网络安全防护工作的重视及实际办公场景的安全需求,北京青年宫主动向安全邦发出诚挚邀请,希望借助安全邦在网
2025网络安全事件盘点:当数字...
一、开篇:藏在手机里的 “身边陷阱”“扫码领社保补贴” 的弹窗突然弹出,“本地发生重大事故” 的视频刷满朋友圈,“AI 预测彩票中奖” 的广告精准推送 ——20
网络安全法迎重要更新!2026 ...
在数字时代,网络安全早已不是陌生的话题,小到个人手机里的信息保护,大到关键设施的网络防护,都离不开法律的保驾护航。近期,《中华人民共和国网络安全法》完成重要修改
2025等保新规落地:企业如何从...
近日,网络安全领域迎来重要政策更新 —— 继年初相关指导文件发布后,最新的网络安全等级保护细化规则正式落地,标志着我国网络安全防护从 “形式备案” 全面转向 “
网络安全领域制度优化解读:企业合...
一、制度优化背景:回应数字安全新需求2017年《网络安全法》实施以来,我国数字空间环境持续演变,数据泄露、新型网络风险等问题日益突出,原有制度条款已难以满足数字
组件安全合规实践指南:构建企业数...
在数字化转型加速推进的背景下,企业系统构建高度依赖第三方组件,其安全合规已成为保障业务连续性的关键基石。本文基于行业最佳实践,从管理框架、技术落地、全生命周期管
政策强约束下的组件安全:2025...
2024 年底至 2025 年初,网络安全领域政策持续加码,其中《网络安全审查办法》的深化实施与配套解读(2024 年 12 月商务部修订版)最受关注。这份覆盖