盗墓笔记小说txt下载,盗墓笔记

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

理解API安全以及如何開(kāi)始

我們現(xiàn)在的世界已經(jīng)逐漸由云計(jì)算、移動(dòng)設(shè)備和微服務(wù)構(gòu)成。幾乎我們每一個(gè)交互的應(yīng)用都由API支持，尤其是在那些領(lǐng)先的云服務(wù)供應(yīng)商、移動(dòng)應(yīng)用和微服務(wù)環(huán)境中。這就讓API成為了組織攻擊面的一個(gè)關(guān)鍵部分。

創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司，提供網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)，網(wǎng)頁(yè)設(shè)計(jì)，建網(wǎng)站，PHP網(wǎng)站建設(shè)等專(zhuān)業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展；專(zhuān)業(yè)做搜索引擎喜愛(ài)的網(wǎng)站，是專(zhuān)業(yè)的做網(wǎng)站團(tuán)隊(duì)，希望更多企業(yè)前來(lái)合作!

Akamai估計(jì)，大約83%的互聯(lián)網(wǎng)流量都是基于API的。其他的研究，比如像Salt Security認(rèn)為，API攻擊從2021年到2022年增長(zhǎng)了600%；而Gartner則預(yù)計(jì)，90%的web賦能應(yīng)用會(huì)因?yàn)楸┞兜腁PI形成更大的攻擊面。最近由Imperva的研究則表明，有隱患的API導(dǎo)致組織的損失，每年大約會(huì)在400億美元到700億美元之間。

另一個(gè)導(dǎo)致API攻擊面擴(kuò)大的關(guān)鍵因素是K8s和微服務(wù)的使用。最近一項(xiàng)研究發(fā)現(xiàn)了超過(guò)38萬(wàn)個(gè)暴露的K8s的API服務(wù)器，這足以引起擔(dān)憂(yōu)——畢竟K8s的API服務(wù)器是容器部署的核心控制組件。這同樣表明，API的安全性被很少關(guān)注，盡管API已經(jīng)是提升現(xiàn)代數(shù)字生態(tài)的粘接劑。

API不僅用于接入和請(qǐng)求數(shù)據(jù)，還會(huì)在流程中進(jìn)行數(shù)據(jù)富集和修改等行為。這就意味著API自身不僅需要安全，他們當(dāng)中流動(dòng)的數(shù)據(jù)本身也需要安全。

這一現(xiàn)實(shí)強(qiáng)調(diào)了在關(guān)注API安全時(shí)，離不開(kāi)應(yīng)用和數(shù)據(jù)安全的最佳實(shí)踐。和許多其他領(lǐng)域的技術(shù)一樣，大部分企業(yè)在建立他們自己的API庫(kù)這個(gè)基礎(chǔ)的任務(wù)時(shí)，就掙扎不已。這就表明他們?nèi)狈?duì)他們有哪些API、和哪些API交互、以及API和哪些攻擊面關(guān)聯(lián)的可視化能力。

像Resurface Labs和Traceable AI這樣的組織已經(jīng)開(kāi)始應(yīng)對(duì)這個(gè)問(wèn)題，但是要做的工作依然很多。以下三點(diǎn)是組織應(yīng)該開(kāi)始理解他們的API攻擊面情況以及其潛在的隱患。

如何開(kāi)始評(píng)估API攻擊面

API安全對(duì)那些剛開(kāi)始做安全的組織來(lái)說(shuō)是一件令人頭疼的任務(wù)，尤其對(duì)于那些API庫(kù)雜亂無(wú)章的大企業(yè)而言。也就是說(shuō)，需要一系列有效的措施和方法論，才能處理這個(gè)龐大而又無(wú)法解決的安全領(lǐng)域。這一方式需要結(jié)合治理、基礎(chǔ)設(shè)施安全和應(yīng)用級(jí)別的最佳實(shí)踐，才能降低組織的風(fēng)險(xiǎn)。

除了將組織現(xiàn)有的API全部都?xì)w庫(kù)以外，一個(gè)可能更好的起步方式，是識(shí)別和理解最常見(jiàn)的API安全問(wèn)題。幸運(yùn)的是，OWASP社區(qū)已經(jīng)有了API安全TOP10的清單。這個(gè)清單包括了受損對(duì)象、用戶(hù)授權(quán)/認(rèn)證、過(guò)度數(shù)據(jù)暴露、缺乏速率限制等風(fēng)險(xiǎn)。

受損的對(duì)象級(jí)別授權(quán)是指破壞了確保用戶(hù)只能接入他們被授權(quán)的對(duì)象的代碼級(jí)結(jié)構(gòu)。這一風(fēng)險(xiǎn)又回到了最小權(quán)限接入控制的老問(wèn)題，這一點(diǎn)在零信任中被持續(xù)推動(dòng)。

受損的用戶(hù)認(rèn)證則有多種形態(tài)的表現(xiàn)，包括脆弱的認(rèn)證機(jī)制、在URL中存在敏感的認(rèn)證信息、憑證填充等等。這些都是惡意人員通過(guò)已經(jīng)獲取的認(rèn)證信息反復(fù)嘗試，以突破認(rèn)證交互。這些脆弱性的解決方式包括了理解認(rèn)證的流程、機(jī)制，并且使用行業(yè)標(biāo)準(zhǔn)的認(rèn)證方式。

過(guò)度的數(shù)據(jù)暴露簡(jiǎn)直是一個(gè)太過(guò)于常見(jiàn)的問(wèn)題了。當(dāng)和API相關(guān)的時(shí)候，這個(gè)隱患往往發(fā)生在API給用戶(hù)回復(fù)數(shù)據(jù)時(shí)，將不應(yīng)該暴露的敏感數(shù)據(jù)進(jìn)行了回傳。組織解決這類(lèi)問(wèn)題的方式包括驗(yàn)證API響應(yīng)中包含的數(shù)據(jù)，確保敏感數(shù)據(jù)不會(huì)不經(jīng)意中被包括其中。組織也應(yīng)該部署響應(yīng)驗(yàn)證機(jī)制，保證敏感數(shù)據(jù)不被暴露。

和其他常見(jiàn)的隱患相比，缺乏速率限制控制更多會(huì)影響系統(tǒng)的可用性，而非機(jī)密性或者完整性。鑒于API經(jīng)常作為現(xiàn)代微服務(wù)、云和移動(dòng)應(yīng)用之間的粘連劑，最終都要為客戶(hù)實(shí)現(xiàn)價(jià)值并且創(chuàng)收，可用性的影響非常關(guān)鍵。業(yè)務(wù)中斷意味著收入或者用戶(hù)信任的損失。如果在公共事務(wù)領(lǐng)域或者國(guó)家領(lǐng)域，就會(huì)對(duì)市政服務(wù)或者國(guó)家安全打來(lái)極大沖擊。

這些問(wèn)題可能對(duì)那些經(jīng)驗(yàn)老到的安全實(shí)踐人員而言非常明顯，畢竟認(rèn)證、授權(quán)和DoS攻擊司空見(jiàn)慣。換種說(shuō)法，將以上組織內(nèi)部和互聯(lián)網(wǎng)上的API問(wèn)題都考慮進(jìn)去，加上來(lái)自惡意份子針對(duì)API攻擊的高速增長(zhǎng)速率，潛在的風(fēng)險(xiǎn)就越發(fā)復(fù)雜。

API導(dǎo)致的橫向移動(dòng)

由于API經(jīng)常作為應(yīng)用和數(shù)字環(huán)境的前門(mén)工作，針對(duì)API的攻擊經(jīng)常會(huì)進(jìn)行系統(tǒng)之間的橫向移動(dòng)。API能夠作為一個(gè)攻擊的起點(diǎn)，然后被用于接入下層系統(tǒng)、工作負(fù)載和數(shù)據(jù)。這就讓保護(hù)API極其重要。API的主要攻擊手段包括對(duì)象和用戶(hù)級(jí)別的認(rèn)證和授權(quán)。因此，惡意份子并非只是針對(duì)API，而是API可以接入并傳輸?shù)臄?shù)據(jù)，以及它們身后的下層系統(tǒng)。

對(duì)API安全更多的關(guān)注

盡管說(shuō)許多攻擊方式并不是只針對(duì)API的，但是一旦將這些攻擊和API在現(xiàn)代數(shù)字生態(tài)中的大規(guī)模使用結(jié)合到一起，就會(huì)有很大問(wèn)題。幸運(yùn)的是，一些趨勢(shì)正在逐漸顯現(xiàn)，包括對(duì)API安全企業(yè)和產(chǎn)品的加大投資、更多的API安全指導(dǎo)，以及日益增長(zhǎng)的業(yè)內(nèi)對(duì)API安全引發(fā)問(wèn)題的意識(shí)。

如果API已經(jīng)成為連接現(xiàn)代數(shù)字生態(tài)的系帶，那我們就要必須要確保這些系帶非常堅(jiān)固，因?yàn)槲覀儾恍枰粋€(gè)用泡泡糖和鞋帶連接的生態(tài)。盡管說(shuō)傳統(tǒng)基于邊界的安全可能已經(jīng)逐漸失效，API依然是現(xiàn)代系統(tǒng)的一個(gè)關(guān)鍵入口以及樞軸點(diǎn)。這不僅包括了對(duì)外的系統(tǒng)，同時(shí)也有內(nèi)部交互的系統(tǒng)。

我們同樣能看到越來(lái)越多在軟件供應(yīng)鏈方面的努力。這條鏈通過(guò)API為主要方式，將軟件驅(qū)動(dòng)的系統(tǒng)聯(lián)系在一起。這表示API安全作為更為廣義的軟件供應(yīng)鏈生態(tài)的關(guān)鍵組件，確保整個(gè)鏈條的安全性。

點(diǎn)評(píng)

API安全一定程度上已經(jīng)不能說(shuō)是一個(gè)新話(huà)題了，畢竟在過(guò)去一年中我們看到了大量的相關(guān)內(nèi)容。但是，API安全的落地始終不怎么理想。

一個(gè)很重要的原因就是在于API本身遍布了數(shù)字環(huán)境中各個(gè)方面，無(wú)論是從應(yīng)用角度，還是從數(shù)據(jù)角度，都無(wú)法完整描述API安全包含的內(nèi)容。多樣的應(yīng)用場(chǎng)景必然會(huì)帶來(lái)API可視化管理的困難；快速的業(yè)務(wù)發(fā)展與IT技術(shù)演化也必然導(dǎo)致當(dāng)前環(huán)境中的API數(shù)量已經(jīng)相當(dāng)龐大，且難以管理。

從API面臨的風(fēng)險(xiǎn)入手確實(shí)一定程度上能夠緩解初入API安全時(shí)的手足無(wú)措，但是依然無(wú)法完全解決API可視化管理的問(wèn)題。從當(dāng)前來(lái)看，很難有一個(gè)企業(yè)能夠單獨(dú)、完整地囊括整個(gè)企業(yè)的API安全解決方案，正如本文最后提到的那樣，API安全也涉及到了軟件供應(yīng)鏈方面的問(wèn)題，而這同樣是一個(gè)需要多方協(xié)同才能解決的領(lǐng)域。

網(wǎng)站欄目：理解API安全以及如何開(kāi)始
文章路徑：http://m.fisionsoft.com.cn/article/cohophd.html

新聞中心

如何開(kāi)始評(píng)估API攻擊面

API導(dǎo)致的橫向移動(dòng)

對(duì)API安全更多的關(guān)注

點(diǎn)評(píng)

其他資訊