上述許多漏洞都可能被外部黑客或惡意內(nèi)部用戶利用，并且很可能逃過任何安全警報的偵查。瀆職行為的證據(jù)可能要等到啟動組織的事件響應(yīng)計劃時才會出現(xiàn)，甚至永遠(yuǎn)不會出現(xiàn)。

有助于最大限度降低風(fēng)險的關(guān)鍵 API 安全工具

在 API 安全漏洞的烏云中，也有一線希望。事實上，企業(yè)并非束手無策。與標(biāo)準(zhǔn) Web 應(yīng)用程序一樣，當(dāng)攻擊者試圖利用這些漏洞時，可以采取很多措施來預(yù)防或至少將影響降至最低。作為 CISO，組織內(nèi)外的其他人都希望您采取適當(dāng)?shù)拇胧﹣泶_保一切順利。

有助于發(fā)現(xiàn)漏洞并最大限度地減少整個企業(yè)的 API 攻擊面的解決方案包括：

• 傳統(tǒng)的滲透測試工具——Web 代理和各種瀏覽器插件是發(fā)現(xiàn)與身份驗證、會話操縱和未經(jīng)授權(quán)的訪問相關(guān)的漏洞的絕佳工具。
• API 安全測試工具——靜態(tài)應(yīng)用程序安全測試（SAST）、動態(tài)應(yīng)用程序安全測試（DAST）和交互式應(yīng)用程序安全測試（IAST），諸如 Web 漏洞掃描程序之類的工具，特別是那些具有專門 API 測試功能的工具，通常可以比單獨(dú)的手動測試發(fā)現(xiàn)更多更好的 API 相關(guān)漏洞。
• API 安全網(wǎng)關(guān)——客戶端端點(diǎn)和后端 API 服務(wù)之間的中介，也可以監(jiān)控和記錄 API 交易并對潛在威脅發(fā)出警報。
• Web 應(yīng)用程序防火墻 (WAF) – 在應(yīng)用程序?qū)樱∣SI 模型的第 7 層）工作的控制，查找并阻止特定應(yīng)用程序和 API 漏洞。
• 開發(fā)人員培訓(xùn)和將測試進(jìn)一步轉(zhuǎn)移到軟件開發(fā)生命周期的左側(cè)——讓負(fù)責(zé)構(gòu)建安全代碼的人員得到更好的教育并盡早參與到這一過程。

重要的是進(jìn)行適當(dāng)且持續(xù)的網(wǎng)絡(luò)安全評估，以便確認(rèn)這些挑戰(zhàn)，即使不能完全解決，至少也能部分緩解。您無法保護(hù)您不承認(rèn)的東西，因此充分了解應(yīng)用程序和 API 環(huán)境的風(fēng)險級別是關(guān)鍵。

推進(jìn) API 安全

在安全測試和監(jiān)督方面，API 經(jīng)常被忽視。這種疏忽有時發(fā)生在漏洞和滲透測試的范圍界定階段。進(jìn)行測試的一方或系統(tǒng)所有者根本沒有考慮已發(fā)布的 API 是否存在。一些開發(fā)和安全團(tuán)隊未能將 Web API 納入其安全標(biāo)準(zhǔn)的同一保護(hù)范圍。另一種情況是，執(zhí)行了 Web API 安全測試，但沒有使用正確的工具從所有適當(dāng)?shù)慕嵌葘ζ溥M(jìn)行正確測試。不過，其他時候，人們認(rèn)為可以完全跳過 Web API，因為它們的可見性不高或在攻擊面或價值方面沒有提供太多幫助。最糟糕的情況是，當(dāng) API 沒有作為組織整體安全計劃的一部分得到充分監(jiān)控時。當(dāng)漏洞發(fā)生時，沒有人知道。這些都是危險的方法，顯然會導(dǎo)致不良事件。

所有這些疏忽都可能造成一種錯覺，即網(wǎng)絡(luò)環(huán)境是安全的。工作已經(jīng)完成。錢已經(jīng)花掉。復(fù)選框已經(jīng)選中。然而，仍然沒有對系統(tǒng)的每個部分進(jìn)行評估和監(jiān)控，以發(fā)現(xiàn)當(dāng)時或持續(xù)存在的安全漏洞。這就像醫(yī)生可能不會為生病的病人安排適當(dāng)?shù)难簷z查或放射學(xué)檢查。某些工作已經(jīng)完成，病人得到了健康證明，但由于簡單的疏忽，未知的病癥或疾病仍然潛伏著。痛苦仍在繼續(xù)。

隨著 API 在整個企業(yè)中越來越普及，將它們納入持續(xù)的安全討論中非常重要。有太多事情可能發(fā)生，而且損失實在太大。主動威脅建模和安全標(biāo)準(zhǔn)應(yīng)該像適用于其他 Web 應(yīng)用程序組件一樣適用于 API。諸如OWASP API 安全項目之類的標(biāo)準(zhǔn)應(yīng)該集成到您的開發(fā)生命周期中。主動安全測試和系統(tǒng)監(jiān)控與警報也是如此 – 貫穿整個應(yīng)用程序的生命周期。如果存在 API，則需要將其納入監(jiān)督和審查范圍。其他任何事情可能都不夠，可能只會助長您迄今為止投入了大量時間、金錢和精力來防止的漏洞。作為您組織的安全負(fù)責(zé)人，請立即按照您的條件采取行動，以免被迫按照他人的條件采取行動。

Kevin Beaver，CISSP 是總部位于佐治亞州亞特蘭大的?Principle Logic, LLC的獨(dú)立信息安全顧問、作家和專業(yè)演講者。Kevin 擁有超過 34 年的 IT 經(jīng)驗和 28 年的安全經(jīng)驗，擅長漏洞和滲透測試、安全計劃審查和虛擬 CISO 咨詢工作，幫助企業(yè)消除造成虛假安全感的障礙。他撰寫了 12 本安全書籍，包括暢銷書?《黑客入門》?（目前為第 7 版）和?《HIPAA 隱私和安全合規(guī)實用指南》?（目前為第 2 版）。Kevin 撰寫了 1,300 多篇安全文章，并定期為包括 SearchSecurity.com 在內(nèi)的各種 TechTarget 網(wǎng)站撰稿。他擁有南方技術(shù)學(xué)院計算機(jī)工程技術(shù)學(xué)士學(xué)位和佐治亞理工學(xué)院技術(shù)管理碩士學(xué)位。

文章來源：Defending Against API Security Risks: A CISO’s Guide

#你可能也喜歡這些API文章!

應(yīng)用程序開發(fā)中不可或缺的開放API

開發(fā)者生產(chǎn)力提升的API終極指南

制定藍(lán)圖：什么樣的API策略能夠確保未來的成功？

詳解API：應(yīng)用程序編程接口終極指南

精通API規(guī)范：構(gòu)建明確指導(dǎo)和預(yù)期的指南

API 優(yōu)先方法如何徹底改變軟件開發(fā)

掌握良好的 API 設(shè)計原則：是什么、為什么和怎么辦

API-first產(chǎn)品經(jīng)理的熱門 API 工具和 API 指標(biāo)

ChatGPT生態(tài)系統(tǒng)的安全漏洞導(dǎo)致第三方網(wǎng)站賬戶和敏感數(shù)據(jù)泄露