有声,完美世界txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

要有光：確保整個API生命周期的可視性

在如今的開放生態(tài)系統(tǒng)中，集中安全是一項挑戰(zhàn)

實現(xiàn)API可視化之前，我們必須認(rèn)識到的，當(dāng)今企業(yè)都在極力避免用單獨一個系統(tǒng)來管理所有API。IBM的集成工程總監(jiān)Tony Curcio表示，他的許多客戶企業(yè)已經(jīng)在使用包含典型內(nèi)部基礎(chǔ)設(shè)施的混合架構(gòu)，同時跨多家云供應(yīng)商，采用SaaS和IaaS模式來獲取服務(wù)。

創(chuàng)新互聯(lián)建站-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比汕城網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式汕城網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋汕城地區(qū)。費用合理售后完善，十余年實體公司更值得信賴。

這些體系結(jié)構(gòu)旨在提高安全韌性和靈活性。但我們清楚地意識到，這會使集中化工作變得更加復(fù)雜，也就是說：提高安全韌性和靈活性的代價是集中化工作的復(fù)雜化。因此，就必須要有一個的集中的API管控位置，以確保API相關(guān)業(yè)務(wù)活動的可視性以及更好地管理。

因為隨著時間的推移，這種復(fù)雜程度可能會不斷加深，所以安全團隊面臨的問題是，沒有一個集中的地方可以讓開發(fā)團隊管理所有API。此外，這種復(fù)雜性并不僅局限在基礎(chǔ)設(shè)施層，而是會持續(xù)到應(yīng)用層。

Deloitte的高級技術(shù)執(zhí)行官Moe Shamim認(rèn)為非整體應(yīng)用程序開發(fā)是關(guān)鍵。他聲稱，為了保持競爭力，同時將威脅降至最低，組織現(xiàn)在必須將數(shù)百萬行的代碼分解為基于API的模塊化流程和系統(tǒng)。這需要將API網(wǎng)關(guān)、IAM、節(jié)流等因素納入考慮，來進行重新的思考。這意味著需要花費大量的時間和資源。

隨著時間的推移，組織的API足跡不再有規(guī)律地增加。他們由各種API組成，包括兼并和收購而來的API、版本控制API、內(nèi)部API、第三方API以及一些偏離預(yù)期用途、開發(fā)、測試、調(diào)試和診斷目的API等。然而，許多API都沒有文檔記錄和管理，甚至有些連保護措施都沒有，這使得復(fù)雜性問題變得更加嚴(yán)重。

“Shadow APIs”從何而來？

在這種混合云的現(xiàn)實背景下，將相同的程序運行于不同的企業(yè)資產(chǎn)所在環(huán)境中是一種挑戰(zhàn)。在選擇技術(shù)棧時，應(yīng)該考慮到這一挑戰(zhàn)，以便在任何地方都能順利地落實政策并實施治理。

但這說起來容易做起來難，尤其是在收購其他組織，或與其他組織合并的成功企業(yè)中：每個業(yè)務(wù)都使用著不同的技術(shù)，并且需要為每個新增環(huán)境都設(shè)置一個自定制的API安全流程。

API生命周期？API工作方式！

根據(jù)Moe Shamim的說法，API的生命周期可以歸結(jié)為下圖。在制定API安全策略時，必須考慮架構(gòu)、分布、設(shè)計以及影響組織開發(fā)API方法的其他方面。你可以將這些方面視為在API生命周期中每個階段引入的控件。它本質(zhì)上與上述的可視性和集中性有關(guān)。

一張關(guān)于API生命周期的圖

設(shè)計階段決定了API是僅在網(wǎng)絡(luò)防火墻內(nèi)使用還是公開使用，以及身份驗證等問題。同時它還將涉及更多的技術(shù)問題，如開發(fā)、網(wǎng)關(guān)類型以及使用的編程語言。重要的是考慮到威脅模型的同時，做出一個與你工具的生態(tài)系統(tǒng)相一致的選擇，這適用于你做出的每一個有關(guān)安全態(tài)勢的決定。

構(gòu)建階段，必須掃描OWASP前10個問題。對此，SAST工具是個很好的選擇。滲透測試和版本控制雖不一定會集成到安全態(tài)勢中，但它們都是強大的機制，有益于擴充你的安全“軍火庫”。

運營階段包括節(jié)流、緩存和日志記錄等問題。完備的日志記錄和監(jiān)控機制是修復(fù)階段的必備工具，它能夠幫助修復(fù)不同版本的漏洞。

最后但卻同樣重要的是下線階段。刪除不再使用的端點是一項基本的最佳做法；一般情況下，如果你不再需要一項服務(wù)，那么就不要讓它一直處于開啟狀態(tài)。如果你不再需要某個API了，就關(guān)掉它;云賬戶也是如此。

Tony Curcio聲稱，API項目治理的關(guān)鍵原則之一是API的開發(fā)人員、產(chǎn)品經(jīng)理和消費者之間的協(xié)作。查看每個角色的安全配置，并對確保使用安全的API策略進行協(xié)調(diào)，這是組織安全態(tài)勢的一個基本方面。

在組織內(nèi)樹立API優(yōu)先的理念是有益的。例如，IBM開發(fā)了自己的API管理技術(shù)，使他們能夠更容易地公開和保護自己的API。但像Imvison那樣，擁有先進的API技術(shù)，還有很長的路要走。他們的人工智能技術(shù)幫助我們更多地了解，包括其來源等關(guān)鍵問題的攻擊途徑。

采取情報主導(dǎo)的安全應(yīng)對方式

MAERSK的高級解決方案架構(gòu)師Gabriel Maties提出了另一種觀點。由于MAERSK有著三年的API項目經(jīng)驗，并且期間遭遇了一場嚴(yán)重的危機，所以在網(wǎng)絡(luò)安全方面，他一直認(rèn)為即使不能比攻擊者做得更好，至少也要做得與其同樣好。

Gabriel分享了他對可視性的看法，因為API管理在內(nèi)部共享資源，所以他從一開始就將API管理視為一項多參與者的工作。因此，系統(tǒng)的每個入口點及其支持機制都應(yīng)該進行仔細的檢查并集中監(jiān)控。

這種集中化很重要，因為可視性是多維的，從來沒有監(jiān)控某個單獨的方面。這就需要對API進行全面的了解，使你能夠輕松了解API部署在哪里、擁有者是誰、使用者是誰、如何使用、正常使用的狀態(tài)是什么樣的以及每個API如何受到保護等問題。而且，集中化還有利于更好地了解每個API的生命周期是什么樣的、存在多少版本、共享哪些數(shù)據(jù)、存儲在哪里以及誰在使用這些數(shù)據(jù)等問題。

集中化是確保以最大效益以及最小風(fēng)險的方式，管理這個復(fù)雜生態(tài)系統(tǒng)的唯一方法。

一張可視性層次的圖

擁有集中的觀察能力可以進一步進行洞察，從而對觀察結(jié)果采取行動?？梢暬鼓隳軌蛴^察正在進行的、未知的主動攻擊，同時制定策略，并且使你能夠利用觀察得來的見解來采取行動。

基于規(guī)則的安全性是非常有效的，并且機器學(xué)習(xí)和深度學(xué)習(xí)這兩種技術(shù)可以使其自動化和程序化。主要是因為沒有其他可供選擇的技術(shù)來處理海量的數(shù)據(jù)。并且，這兩種技術(shù)還能夠?qū)崿F(xiàn)自適應(yīng)威脅保護來幫助應(yīng)對新的威脅。

壞消息是，黑客也在使用同樣的技術(shù)，而且處理這些技術(shù)需要組織成熟度，以采取必要的行動。我們這里討論的是一些繁重的操作，比如關(guān)閉負(fù)載平衡器、切換防火墻，以及自動、快速地進行的其他基礎(chǔ)設(shè)施的更改。如果沒有整個組織的高度成熟度，就無法實現(xiàn)這一點。

監(jiān)督機器學(xué)習(xí)可以幫助組織提高這種成熟度。它使你能夠處理大量規(guī)則集并進行洞察，以便設(shè)計自動操作流。而且，數(shù)據(jù)科學(xué)在跟蹤特定攻擊者行為方面提供了重要的技術(shù)訣竅。當(dāng)組織面臨不同資源或者持續(xù)的高級威脅時，這些訣竅至關(guān)重要。

規(guī)則和流程發(fā)生改變和更新時，這種以智能為主導(dǎo)的安全響應(yīng)能夠依靠量化的證據(jù)做出持續(xù)的自適應(yīng)、自反的響應(yīng)。這是應(yīng)對不斷增加且不斷復(fù)雜化攻擊的唯一方法。

黑屏：一個真實的攻擊事件

Gabriel談?wù)撨^他在Maersk工作時經(jīng)歷的一次真實攻擊。大約是在他加入Maersk九個月后的一天，他們的屏幕突然黑屏了。斷開服務(wù)器和拔插頭也都無濟于事。已經(jīng)太晚了，短短幾分鐘之內(nèi)，數(shù)千臺計算機便癱瘓了。

這不是以斂財為目的的攻擊，而是一次破壞性的攻擊，意在讓Maersk屈服。由于攻擊者使用了單向加密，所以Gabriel和他的團隊只能選擇重建系統(tǒng)。顯然，重建系統(tǒng)時，網(wǎng)絡(luò)安全是最為優(yōu)先的事項。他們認(rèn)為動態(tài)分析至關(guān)重要，為的是進行實時分析，以增強持續(xù)學(xué)習(xí)和適應(yīng)威脅的能力。因為80%的攻擊都是內(nèi)部行為，所以他們的目標(biāo)是了解哪些行為是正常的，以及哪些什么是不正常的。

攻擊發(fā)生后，Gabriel提出了可視性的、健康檢查的四個級別和一個能夠判斷系統(tǒng)安全是否受到損害的方法?，F(xiàn)在，所有流程和架構(gòu)決策都必須通過網(wǎng)絡(luò)安全評估，都必須通過大量的檢查和平衡處理。但這并不意味著必須滿足所有條件，才能獲得新流程或決策的批準(zhǔn)。因為關(guān)鍵點在于推動你對自己差距和弱點的了解。這樣你才能利用合適的功能和供應(yīng)商，來實現(xiàn)你的安全理念。

在過去兩年中，我們看到越來越多的組織采用特定的API工具來幫助監(jiān)控、發(fā)現(xiàn)和消除shadow API，以便更好地了解其風(fēng)險。這是一個偉大的進步，因為API與我們的應(yīng)用世界完全不同。采用專門為其構(gòu)建的獨特工具和流程是保護API的唯一方法。

API安全：使董事會上船

正如我們所見，網(wǎng)絡(luò)安全攻擊數(shù)量和嚴(yán)重性正不斷提高，這引起了了許多企業(yè)的董事會和高管對API保護的重視。而提高可視性程度是讓高管了解所面臨風(fēng)險的另一種方式。如果你能找到一種方法，讓你的高管們知道有多少未受保護的數(shù)據(jù)容易受到威脅，那么你已經(jīng)贏了一半。

這種可見性反過來將增強一種更具適應(yīng)性和自反性的網(wǎng)絡(luò)安全態(tài)勢，使你能夠不斷學(xué)習(xí)、洞察并調(diào)整自己的態(tài)勢，以應(yīng)對不斷的新型攻擊。

在不同的企業(yè)資產(chǎn)中建立一致的、可視化的安全態(tài)勢是完善網(wǎng)絡(luò)安全戰(zhàn)略的核心原則。這種安全態(tài)勢必須考慮API生命周期的四個階段：設(shè)計、構(gòu)建、運營和下線。為了正確地做到這一點，你必須選擇一種合適的技術(shù)。這種技術(shù)要能夠?qū)嵤┠阍贏PI安全管理初期所決定的策略、工具和治理。

最后，制定一個整體的、集中的戰(zhàn)略，以增強可見性來保護資產(chǎn)，也同樣重要。Imvision等創(chuàng)新公司提供的先進ML和深度學(xué)習(xí)技術(shù)一定可以幫助你實現(xiàn)這一目標(biāo)。

點評

隨著API應(yīng)用場景的增加，系統(tǒng)被攻擊的風(fēng)險也不斷提升。API安全的維護不僅是網(wǎng)絡(luò)安全部門的工作，更要得到整個企業(yè)，尤其是領(lǐng)導(dǎo)決策層的重視?？梢暬夹g(shù)在API生命周期中的應(yīng)用，使得網(wǎng)絡(luò)安全態(tài)勢以更加形象具體的方式，呈現(xiàn)給包括非技術(shù)人員在內(nèi)的所有系統(tǒng)用戶。這樣不但能使用戶其更好地了解當(dāng)前系統(tǒng)的安全狀態(tài)，同時也充分發(fā)揮了群體決策的優(yōu)勢。

分享文章：要有光：確保整個API生命周期的可視性
本文URL：http://m.fisionsoft.com.cn/article/cojcdip.html

新聞中心

在如今的開放生態(tài)系統(tǒng)中，集中安全是一項挑戰(zhàn)

API生命周期？API工作方式！

采取情報主導(dǎo)的安全應(yīng)對方式

黑屏：一個真實的攻擊事件

API安全：使董事會上船

點評

其他資訊

在如今的開放生態(tài)系統(tǒng)中，集中安全是一項挑戰(zhàn)

API生命周期？API工作方式！