API 安全是保护API 免受攻击的过程。 正如应用程序、网络和服务器可能会受到攻击一样,API 也可能成为许多不同威胁的受害者。 大多数现代Web 应用程序都依赖API 来运行,而API 允许外部各方访问它,从而给应用程序带来了额外的风险。
API 安全成为热门话题有两个主要原因。首先,我们生活在一个 API 优先的世界,因为它们已成为数字经济的支柱,并为现代应用程序的几乎各个方面提供动力企业和消费者日常使用。
其次,API 的安全极难,很大程度上是因为它们随处使用且难以跟踪。
API 的蔓延不仅造成了安全问题,而且还造成了安全问题。这是 API 的使用方式和位置。它们用于关键基础设施和业务运营以及整个数字供应链。
不幸的是,开发人员没有足够重视 API 为何成为有针对性的攻击媒介,但 API 安全性是大多数安全专业人员的首要考虑因素,这种脱节问题日益严重。
事实上,在 Salt Security 的 CISO 状况报告中,70% 的 CISO 现在比过去两年更加重视 API 安全,超过 90% 的 CISO 预计未来会更加重视 API 安全。
为什么威胁行为者具有优势
这些数字比过去的调查有所增加,原因之一是威胁参与者比以往任何时候都更加关注 API 攻击。
对手知道保护 API 有多么困难。他们准确地认识到挑战所在:API 蔓延、第三方 API 的增长以及 API 的具体使用方式,并且他们正在利用安全缺陷。
安全专业人员面临的另一个问题是 API 频繁变化,这对威胁行为者来说却是一个福音。
根据 Salt Security 的 API 安全状况报告,超过一半的受访者表示他们的 API 每月都会更改,三分之一的受访者表示他们的 API 每周都会更改。
部分由于这种频繁的变化,API 没有得到充分的记录,因此很难知道它们的使用方式和位置。如果没有这些信息,安全专业人员就会不知如何最好地实施安全。
威胁参与者由于 API 的跟踪方式而具有优势。攻击流量伪装成真实流量。当有人对我们的 API 做坏事时,很难破译和辨别。
过去,跟踪攻击模式具有一定的可预测性,使用可以查找特定的已知模式序列或签名并阻止攻击的技术。
这与 API 攻击非常不同,API 攻击的侦察可能需要数周时间,从而使攻击者有足够的时间来寻找更多漏洞并造成重大损害。
针对 API 的攻击也有所不同,因为它们是多步骤、基于逻辑的攻击。这意味着,当您不知道如何使用 API 并且攻击是基于业务逻辑时,您的 Web 防御工具库中可能没有工具来了解何时发生了针对您的 API 不良事件。
随着威胁行为者继续将 API 作为首选的攻击媒介,安全团队的任务是寻找阻止这些努力的方法。
直觉反应通常是左移测试策略,但拉戈警告说,这可能不是最有效的方法。自动扫描的问题在于,API 通常被视为 Web 应用程序,并且不能解决围绕 API 的威胁。
要构建有效的 API 安全系统,您必须了解您的 API。当 API 投入生产时,您必须学会假设投入生产的内容存在一些与之相关的业务逻辑漏洞,而这些漏洞会带来零日攻击的风险。
归根结底,我们必须认识到 API 风险是不可避免的生产现实,但现在是时候制定一项策略来减缓对手使用 API 作为攻击媒介的速度了。