Imperva API Security Head Lebin Cheng 近日在info security雜誌發表了一篇文章,分享如何有效管理和保護API
從預訂航班到通過外賣應用訂購外賣,我們依賴的當今大多數按需服務都是由應用程式API 驅使的。它們是應用程序和數據源之間的無形連接,使我們能夠更方便、更方便地存取數位服務。
API 對現代 IT 創新和數字化轉型至關重要——已經有 70% 的網路流量是網路 API。不幸的是,無論消費者走到哪裡,駭客永遠不會落後。Gartner 預測,到 2022 年,API 將成為最常受到攻擊的企業 Web 應用程式向量。但為什麼 API 會成為網路犯罪分子的目標?企業如何保護自己免受即將到來的衝擊?
為什麼 API 是駭客的主要目標?
API 最強大(因此也是最危險的)的原因之一是它們經常交換資料,有些是敏感數據,作為服務的一部分。因此,它可以成為資料外洩的載體,因為它們實際上是通往組織最有價值信息的高速公路。對於許多企業而言,API 可能成為保護不足的風險面,使資料暴露於應用程式級攻擊,而傳統的安全防禦措施對這些攻擊並不十分有效。
問題是,在不知道 API 正在存取哪些資料、如何存取及存取者的情況下,組織對未來 12 到 24 個月內由於配置錯誤和易受攻擊的 API 導致的資料外洩浪潮毫無準備。因此,API 安全已經超越了應用程式安全問題-它在本質上是一個資料安全威脅。綜上所述,過去幾年發生了數十起備受矚目的資料外洩事件,這些事件源於 API 安全相關事件,導致資料外洩、數據抓取、存取暴露、非法最終用戶跟踪、帳戶接管等。
使用的 API 數量的顯著增長加劇了這個問題,極大地增加了安全團隊的壓力。現在,普通企業有數千個 API 可供盤點和管理。然而,大多數人沒有能力監控和保護從外部世界到關鍵客戶數據和應用程式的所有這些路徑。同時,實施 API 安全性會給開發團隊帶來摩擦,因為它需要對開發進行更改,這可能會減慢創新的步伐。
此外,當今許多現有的 API 發現工作都只專注於監控端點,但這還不足以阻止由於錯誤配置或易受攻擊的 API 而導致的違規數量增加。相反,組織需要更深入地研究負載和 API 正在存取的資料。通過採用以資料為中心的方法,組織將能夠強化他們的應用程式並保護自己免受下一次重大漏洞的影響。
API = 關鍵業務
那麼組織如何保護他們的 API 呢?第一步是接受 API 需要與業務關鍵 Web 應用程式相同級別的保護。因此,組織應考慮:
- 優先了解不斷增長的 API 生態系統: 識別企業內的所有 API,並了解存取它們的所有流量。保護 API 應該是組織保護機敏資料戰略的直接延伸。
- 應用自動化和機器學習來評估 API 行為:這最好在開發和測試階段的早期進行。根據基於風險的策略進行評估並確定減輕威脅的適當措施至關重要。特別是,這應該包括數據交換模式,以便可以基於始終最新的行為基線啟用運行時保護。
- 了解最終用戶以確保身份驗證和授權: 確定最終用戶的身份以及他們需要存取的內容是保護 API 和實施身份驗證的關鍵。應構建和測試 API,以防止用戶其預定義角色之外的 API 功能或操作。例如,不應允許只讀 API 客戶端存取提供管理功能的端點。
- 啟用 API 治理: 獲得 API 端點之外和每個 API 的底層有效負載的可見性將有助於高度監管行業的業務領導者實施治理模型並阻止潛在的資料外洩。
API 支撐著我們的數位經濟,使企業能夠快速創新,並使消費者能夠從他們的服務中獲益。隨著組織使用它們來連接從移動應用程序和物聯網設備、容器和無服務器功能到底層數據層的一切,這些生態系統只會繼續增長。然而,就像任何提高業務速度的東西一樣,它會產生安全漏洞,如果不加以保護,可能會造成嚴重威脅。因此,API 安全需要被視為資料安全策略的一個關鍵維度。
想了解更多產品訊息? 立即點選下方按鈕”聯絡亞利安”並訂閱最新快訊