久久99久久精品免费思思6,国产成人久久精品激情91,四虎影院永久在线

有助于最大限度降低風險的關鍵 API 安全工具

在 API 安全漏洞的烏云中，也有一線希望。事實上，企業并非束手無策。與標準 Web 應用程序一樣，當攻擊者試圖利用這些漏洞時，可以采取很多措施來預防或至少將影響降至最低。作為 CISO，組織內外的其他人都希望您采取適當的措施來確保一切順利。

有助于發現漏洞并最大限度地減少整個企業的 API 攻擊面的解決方案包括：

傳統的滲透測試工具——Web 代理和各種瀏覽器插件是發現與身份驗證、會話操縱和未經授權的訪問相關的漏洞的絕佳工具。

API 安全測試工具——靜態應用程序安全測試（SAST）、動態應用程序安全測試（DAST）和交互式應用程序安全測試（IAST），諸如 Web 漏洞掃描程序之類的工具，特別是那些具有專門 API 測試功能的工具，通?？梢员葐为毜氖謩訙y試發現更多更好的 API 相關漏洞。

API 安全網關——客戶端端點和后端 API 服務之間的中介，也可以監控和記錄 API 交易并對潛在威脅發出警報。

Web 應用程序防火墻 (WAF) – 在應用程序層（OSI 模型的第 7 層）工作的控制，查找并阻止特定應用程序和 API 漏洞。

開發人員培訓和將測試進一步轉移到軟件開發生命周期的左側——讓負責構建安全代碼的人員得到更好的教育并盡早參與到這一過程。

重要的是進行適當且持續的網絡安全評估，以便確認這些挑戰，即使不能完全解決，至少也能部分緩解。您無法保護您不承認的東西，因此充分了解應用程序和 API 環境的風險級別是關鍵。

推進 API 安全

在安全測試和監督方面，API 經常被忽視。這種疏忽有時發生在漏洞和滲透測試的范圍界定階段。進行測試的一方或系統所有者根本沒有考慮已發布的 API 是否存在。一些開發和安全團隊未能將 Web API 納入其安全標準的同一保護范圍。另一種情況是，執行了 Web API 安全測試，但沒有使用正確的工具從所有適當的角度對其進行正確測試。不過，其他時候，人們認為可以完全跳過 Web API，因為它們的可見性不高或在攻擊面或價值方面沒有提供太多幫助。最糟糕的情況是，當 API 沒有作為組織整體安全計劃的一部分得到充分監控時。當漏洞發生時，沒有人知道。這些都是危險的方法，顯然會導致不良事件。

所有這些疏忽都可能造成一種錯覺，即網絡環境是安全的。工作已經完成。錢已經花掉。復選框已經選中。然而，仍然沒有對系統的每個部分進行評估和監控，以發現當時或持續存在的安全漏洞。這就像醫生可能不會為生病的病人安排適當的血液檢查或放射學檢查。某些工作已經完成，病人得到了健康證明，但由于簡單的疏忽，未知的病癥或疾病仍然潛伏著。痛苦仍在繼續。

隨著 API 在整個企業中越來越普及，將它們納入持續的安全討論中非常重要。有太多事情可能發生，而且損失實在太大。主動威脅建模和安全標準應該像適用于其他 Web 應用程序組件一樣適用于 API。諸如OWASP API 安全項目之類的標準應該集成到您的開發生命周期中。主動安全測試和系統監控與警報也是如此 – 貫穿整個應用程序的生命周期。如果存在 API，則需要將其納入監督和審查范圍。其他任何事情可能都不夠，可能只會助長您迄今為止投入了大量時間、金錢和精力來防止的漏洞。作為您組織的安全負責人，請立即按照您的條件采取行動，以免被迫按照他人的條件采取行動。

Kevin Beaver，CISSP 是總部位于佐治亞州亞特蘭大的?Principle Logic, LLC的獨立信息安全顧問、作家和專業演講者。Kevin 擁有超過 34 年的 IT 經驗和 28 年的安全經驗，擅長漏洞和滲透測試、安全計劃審查和虛擬 CISO 咨詢工作，幫助企業消除造成虛假安全感的障礙。他撰寫了 12 本安全書籍，包括暢銷書?《黑客入門》?（目前為第 7 版）和?《HIPAA 隱私和安全合規實用指南》?（目前為第 2 版）。Kevin 撰寫了 1,300 多篇安全文章，并定期為包括 SearchSecurity.com 在內的各種 TechTarget 網站撰稿。他擁有南方技術學院計算機工程技術學士學位和佐治亞理工學院技術管理碩士學位。