API（應(yīng)用程序編程接口）在現(xiàn)代軟件開發(fā)中占據(jù)著重要地位。API推動(dòng)了應(yīng)用程序、容器和微服務(wù)之間的數(shù)據(jù)和信息交換，徹底改變了Web應(yīng)用的工作方式，催生了大量數(shù)字商業(yè)模式，因此API也被喻為數(shù)字經(jīng)濟(jì)的“交換機(jī)”。

盡管API有無數(shù)的好處，但黑客也可以利用API中的漏洞未經(jīng)授權(quán)訪問敏感數(shù)據(jù)和隱私數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)泄露、財(cái)務(wù)損失和聲譽(yù)受損。因此，企業(yè)需要了解API安全威脅形勢(shì)，并尋找緩解威脅的最佳方法。

(相關(guān)資料圖)

API攻擊暴增400%

API支持應(yīng)用程序和系統(tǒng)之間的數(shù)據(jù)交換，能夠無縫執(zhí)行復(fù)雜任務(wù)，但隨著API平均數(shù)量的增加，組織往往會(huì)忽視它們的漏洞，從而成為黑客的主要目標(biāo)。根據(jù)SaltSecurity的《2023年第一季度API安全狀況報(bào)告》調(diào)查結(jié)果，在過去六個(gè)月中，針對(duì)API的攻擊增加了400%。

API中的安全漏洞會(huì)危及關(guān)鍵系統(tǒng)，導(dǎo)致未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露，例如Twitter和OptusAPI的泄露。網(wǎng)絡(luò)犯罪分子可以利用這些漏洞發(fā)起各種攻擊，例如身份驗(yàn)證攻擊、分布式拒絕服務(wù)攻擊(DDoS)和惡意軟件攻擊。API安全已成為一個(gè)重要的業(yè)務(wù)問題，另一份報(bào)告顯示，到2023年，API濫用將成為導(dǎo)致數(shù)據(jù)泄露的最常見攻擊媒介，而且50%的數(shù)據(jù)盜竊事件與不安全的API有關(guān)。因此，API安全性成為企業(yè)保護(hù)數(shù)據(jù)的首要任務(wù)，每年給企業(yè)造成高達(dá)750億美元的損失。

2023年六大API安全威脅

對(duì)于大多數(shù)企業(yè)來說，保護(hù)API一直是一項(xiàng)艱巨的任務(wù)，主要是因?yàn)锳PI內(nèi)的配置錯(cuò)誤以及云數(shù)據(jù)泄露的增加。隨著安全形勢(shì)的發(fā)展，API蔓延成為對(duì)API安全構(gòu)成威脅的首要原因。API蔓延是指API在整個(gè)組織中不受控制地?cái)U(kuò)散，對(duì)于擁有多個(gè)應(yīng)用程序、服務(wù)和開發(fā)團(tuán)隊(duì)的企業(yè)來說，這是一個(gè)常見問題。

隨著API數(shù)量的增長(zhǎng)，攻擊面也在不斷擴(kuò)大，成為對(duì)黑客頗有吸引力的目標(biāo)。問題在于API的設(shè)計(jì)并不總是考慮到安全標(biāo)準(zhǔn)。這會(huì)導(dǎo)致缺乏授權(quán)和身份驗(yàn)證，從而暴露個(gè)人身份信息(PII)或其他業(yè)務(wù)數(shù)據(jù)等敏感數(shù)據(jù)。

企業(yè)最關(guān)注的六個(gè)API安全威脅

數(shù)據(jù)來源：SaltSecurity2023年一季度API安全態(tài)勢(shì)報(bào)告

API蔓延產(chǎn)生影子API和僵尸API，進(jìn)一步威脅API安全。僵尸API是暴露的、廢棄的、過時(shí)的或被遺忘的API，它增加了API安全威脅。當(dāng)組織致力于開發(fā)新產(chǎn)品或功能時(shí)，他們經(jīng)常會(huì)忽略在應(yīng)用程序環(huán)境中“游蕩”的僵尸API，從而使攻擊者能夠滲透易受攻擊的API并訪問敏感數(shù)據(jù)。

與僵尸API不同，影子API通常是第三方API，是在沒有適當(dāng)監(jiān)控的情況下開發(fā)的，且未被跟蹤和記錄的API。影子API會(huì)給企業(yè)帶來可靠性問題、不必要的數(shù)據(jù)丟失、違規(guī)處罰以及運(yùn)營(yíng)成本增加。

此外，物聯(lián)網(wǎng)（IoT）等新技術(shù)的出現(xiàn)給維護(hù)API安全帶來了更大的難度。隨著越來越多的設(shè)備連接到互聯(lián)網(wǎng)并可以遠(yuǎn)程訪問，任何不充分的安全措施都可能導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。此外，生成式人工智能算法可能會(huì)帶來安全挑戰(zhàn)。黑客可以利用人工智能算法來檢測(cè)API中的漏洞并發(fā)起有針對(duì)性的攻擊。

提高API安全的五大最佳實(shí)踐

API安全已成為企業(yè)網(wǎng)絡(luò)安全的重要關(guān)注點(diǎn)，需要采用整體網(wǎng)絡(luò)安全方法來緩解威脅和漏洞。開發(fā)人員和安全團(tuán)隊(duì)必須通力協(xié)作實(shí)施以下五大最佳實(shí)踐，以提高API安全性：

01

發(fā)現(xiàn)所有API

API發(fā)現(xiàn)對(duì)于發(fā)現(xiàn)僵尸API和影子API等現(xiàn)代API安全威脅至關(guān)重要。安全團(tuán)隊(duì)接受過保護(hù)關(guān)鍵任務(wù)API的培訓(xùn)，但發(fā)現(xiàn)內(nèi)部、外部和第三方API對(duì)于增強(qiáng)API安全性也至關(guān)重要。企業(yè)需要投資自動(dòng)化API發(fā)現(xiàn)工具，以檢測(cè)每個(gè)API端點(diǎn)，并提供對(duì)API狀態(tài)、位置和運(yùn)行狀況的可見性。

開發(fā)人員還應(yīng)該通過集成API網(wǎng)關(guān)和代理來監(jiān)控API流量，這有助于發(fā)現(xiàn)影子API。此外，安全團(tuán)隊(duì)需要?jiǎng)?chuàng)建定義如何記錄、使用和管理API的策略，這將有助于進(jìn)一步定位未知或易受攻擊的API。

02

測(cè)試評(píng)估所有API

隨著API安全威脅變得越來越普遍，安全團(tuán)隊(duì)不能依賴通用的測(cè)試方法。他們需要采用高級(jí)的安全測(cè)試方法，例如SAST（靜態(tài)應(yīng)用程序安全測(cè)試）。它是一種白盒安全測(cè)試方法，可以識(shí)別源代碼中的漏洞并修復(fù)安全缺陷。向開發(fā)人員提供即時(shí)反饋使他們能夠編寫更加安全的代碼，開發(fā)更加安全的應(yīng)用程序。但是，由于SAST測(cè)試無法檢測(cè)代碼外部的漏洞，因此安全團(tuán)隊(duì)可以考慮同時(shí)使用其他安全測(cè)試工具（例如DAST、IAST或XDR）來提高安全標(biāo)準(zhǔn)。

03

采用零信任安全框架

用戶必須經(jīng)過授權(quán)和身份驗(yàn)證才能訪問數(shù)據(jù)，這種方式在減少攻擊面方面發(fā)揮著至關(guān)重要的作用。此外，利用零信任架構(gòu)(ZTA)可以將API分為更小的單元，擁有自己的一組身份驗(yàn)證、授權(quán)和安全策略。這使安全架構(gòu)師能夠更好地控制API訪問并增強(qiáng)API安全性。

04

實(shí)施API狀態(tài)管理

API狀態(tài)管理是幫助組織檢測(cè)、監(jiān)控和最大程度地減少由于易受攻擊的API造成的潛在安全威脅的另一種好方法。各種狀態(tài)管理工具持續(xù)監(jiān)控API并通知有關(guān)可疑或未經(jīng)授權(quán)的活動(dòng)。這使組織能夠迅速響應(yīng)API安全威脅并減少攻擊面。

API狀態(tài)管理工具還能執(zhí)行定期漏洞評(píng)估，掃描API是否存在安全缺陷，從而使組織能夠采取措施加強(qiáng)API安全性。除此之外，這些工具還提供API審核功能，確保遵守行業(yè)法規(guī)以及其他內(nèi)部政策，保持透明度并最大限度地提高整體安全標(biāo)準(zhǔn)。

05

實(shí)施API威脅防御

提高API安全性是一項(xiàng)持續(xù)的任務(wù)。因此，無論監(jiān)控和安全政策多么強(qiáng)大，威脅仍然可能出現(xiàn)。這就需要實(shí)施主動(dòng)的API威脅預(yù)防措施，以識(shí)別和緩解對(duì)業(yè)務(wù)產(chǎn)生不利影響的潛在API威脅。

API威脅預(yù)防包括使用專門的安全解決方案和技術(shù)，例如威脅建模、行為分析、漏洞掃描、事件響應(yīng)和報(bào)告。此外，通過持續(xù)監(jiān)控、加密或身份驗(yàn)證機(jī)制以及API速率限制，組織可以避免數(shù)據(jù)泄露并確保業(yè)務(wù)運(yùn)營(yíng)不間斷。

API選型的六個(gè)基準(zhǔn)問題

隨著API數(shù)量和采用率的不斷增長(zhǎng)，企業(yè)的API安全面臨著重大挑戰(zhàn)，經(jīng)常導(dǎo)致未經(jīng)授權(quán)的訪問和潛在的數(shù)據(jù)泄露。因此，確保API安全是每個(gè)開發(fā)者的首要責(zé)任。除了遵循以上五大API安全最佳實(shí)踐外，在API安全工具和平臺(tái)的選型時(shí)，企業(yè)通常還會(huì)關(guān)注以下基準(zhǔn)問題：

能否阻止攻擊

能否發(fā)現(xiàn)和識(shí)別所有API資產(chǎn)，包括沒有文檔記錄的API

是否支持實(shí)施“安全左移”API安全實(shí)踐

是否支持API事件響應(yīng)和調(diào)查的流程化

能否防御OWASPAPI安全TOP10威脅

能否滿足合規(guī)和法律要求

關(guān)鍵詞：