API NEWS | 如何提高基于云的安全性的开放 API

渗透技巧 2年前 (2022) admin
565 0 0

API NEWS | 如何提高基于云的安全性的开放 API


欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。

本周,我们带来的分享如下:

  • 来自 Imperva 的报告

  • 关于使用策略即代码提高 API 安全性的文章

  • 关于常见假设如何阻碍有效API保护

  • 开放 API关于如何提高基于云的安全性


三分之一的事件归咎于API不安全


首先是PortSwigger 对Akamai 最近赞助的一份报告的报道,其中分析了超过 117,000 起网络安全事件,以了解其中的趋势和模式。


API NEWS | 如何提高基于云的安全性的开放 API

报告的第一个发现是 API 相关事件的发生率在 4.1% 到 7.5% 之间变化,其发生的可能性与组织的规模成正比:公司越大,发生 API 相关安全事件的机会就越大。

研究人员深入了解了 API 攻击的性质——从分布式拒绝服务 (DDoS) 攻击到泄露敏感数据的中间机 (MitM) 攻击、帐户接管和篡改 API 数据。不出所料,作者列举了 API 不安全的两个主要原因:API 的迅速扩散,以及对暴露的 API 和/或其安全状况缺乏可见性。

报告中另一个有趣的收获是在各个垂直行业中发生了与 API 相关的事件。在信息技术行业,高达 23% 的事件可以追溯到 API——这在很大程度上是因为 API 用于平台、服务和云基础设施的互连。专业服务排名第二,其次是制造、运输和公用事业。医疗保健行业报告的 API 相关事件发生率最低,为 1%,这可能是由于该行业软件开发的严格性和严格的合规性要求。


使用策略即代码提高 API 安全性


“一切皆为代码”实践的出现导致 IT 系统构建方式的显著改进——想想复杂的基础设施可以轻松地与 Terraform 组合。使用代码作为单一事实来源可以提高可审计性和可读性,并允许采用代码开发最佳实践,例如版本控制。


API NEWS | 如何提高基于云的安全性的开放 API


本周,我们从 Axiomatics 的 Mark Cassetta 那里获得了关于如何将策略即代码应用于 API 以提高安全性的观点。Cassetta 描述了授权和访问控制策略通常如何实施为在整个组织的不同业务部门中管理的临时策略。最终结果是 API 的策略执行和访问控制不一致,这通常是 API 安全问题的根本原因。


通过选择策略即代码方法,可以在组织中的不同团队之间以统一的方式应用策略。通过利用代码开发实践,精明的团队可以从版本控制、测试、验证和通过 CI/CD 管道自动注入策略中受益。


作者列举了使用策略即代码的三个主要优点:

 建立最佳实践:通过使用策略即代码,组织可以采用最佳实践来进行授权和访问控制,并确保将这些视为开发生命周期的一流元素。

 Shift-Left:使用策略即代码方法可确保尽早将安全需求注入开发过程,避免安全被视为事后才添加。

 专注于策略:最后,通过专注于以代码表示并存储在中央存储库中的策略,团队能够相互学习,并为复杂、动态的策略交叉传播想法。此外,通过采用集中式方法,组织可以使用中央策略决策点 (PDP) 来执行策略,而不是依赖于每个 API 分别实施策略的分布式模型。开发人员可以专注于功能并将策略决策卸载到中央 PDP。


之前,我们曾介绍过用于 API 保护的“安全即代码”主题。我们觉得能够集中应用策略并减轻 API 开发团队的负担是这种方法的巨大优势。


阻碍有效 API 保护的四个假设


API 安全中一个备受争议的话题是,现有的保护措施是否足以实现强大的 API 安全性,或者是否需要专门的解决方案。本周,Radware就该主题贡献了他们的想法,并提供了四个可能阻碍有效 API 安全性的常见假设。


四个可能阻碍有效 API 安全性的常见假设

• WAF 保护应用程序和相关的 API:虽然 Web 应用程序防火墙 (WAF) 对 Web 应用程序有些有效,但它们在 API 上的表现不佳,因为它们缺乏有效负载和合同的上下文,这意味着它们无法区分预期行为和意外行为。WAF 还基于负面安全模型(试图阻止已知的不良内容)运行,这会导致大量误报和负数。

• API 网关管理和保护我的 API:API 网关通过强制传输安全、速率限制、配额和身份验证为 API 提供一定程度的保护。但是,API 网关有很大的局限性,例如缺乏积极的安全模型引擎、bot 保护能力、行为分析和应用程序 DoS 保护。一定要利用 API 网关,但要注意保护方面的漏洞。

• API 有据可查,可实现有效保护:API 保护技术依赖于有据可查的 API,但在许多组织中,此文档不完整或不存在。确保您有一个策略来发现未记录的 API 并将它们注册到托管 API 程序中。

• 使用专用 API 保护解决方案可提供完美的安全性:即使您使用专用 API 保护产品,也不要自满。请记住,综合 API 安全性还有其他要素,例如威胁情报、机器人检测和 DDoS 防御。


与网络安全一样,最好的方法是分层的纵深防御策略。


提高基于云的安全性的开放 API


本周,我们对开放 API 如何改进基于云的安全系统有了一些有趣的想法。

API NEWS | 如何提高基于云的安全性的开放 API

首先,开放 API 允许不同系统之间更大的互操作性:供应商不再设计定制的 API,而是越来越多地采用相关的开放 API 标准。这可以缩短上市时间,并提高与安全平台和门户的集成度。

其次,采用开放 API 和开源软件供应商可以通过使用管理平台或远程服务团队,在安全系统中实现更高级别的可管理性。

吸取开源软件的教训,避免(重新)发明可能已经以开放格式存在的 API。


有兴趣的可以点击阅读原文查看文章全部内容


感谢 APIsecurity.io 提供相关内容


关于星阑



星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。

星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。



往期 · 推荐



API NEWS | 如何提高基于云的安全性的开放 API

API NEWS | 如何提高基于云的安全性的开放 API

API NEWS | 如何提高基于云的安全性的开放 API

API NEWS | 如何提高基于云的安全性的开放 API


API NEWS | 如何提高基于云的安全性的开放 API

原文始发于微信公众号(星阑科技):API NEWS | 如何提高基于云的安全性的开放 API

版权声明:admin 发表于 2022年7月4日 下午3:02。
转载请注明:API NEWS | 如何提高基于云的安全性的开放 API | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...