99久久er这里只有精品17,国产一区二区在线观看视频,久久精品免费一区二区三区

隨著 API 的激增，攻擊面也隨之?dāng)U大

如果未能認(rèn)真對待 API 安全性（尤其是在設(shè)計和部署期間），則 API 優(yōu)先軟件開發(fā)的優(yōu)勢很容易受到破壞。從最基本的層面上講，API 越多，攻擊面就越大。雖然 API 在現(xiàn)代軟件開發(fā)中發(fā)揮著至關(guān)重要的作用，但同時也變得越來越容易被利用。

2018 年，Gartner 預(yù)測，到 2022 年，API 將成為應(yīng)用程序最常見的攻擊媒介。如果非要說的話，他們對延遲時間的預(yù)測過于樂觀了。影響數(shù)百萬用戶的大型公司 API 泄??露事件早已發(fā)生，而且只會變得更加普遍：

2018 年，Facebook 報告稱，攻擊者利用該公司的開發(fā)人員 API 獲取與用戶個人資料頁面相關(guān)的個人身份信息 (PII)，包括姓名、性別和家鄉(xiāng)，至少5000 萬用戶的數(shù)據(jù)面臨風(fēng)險。
2019年，LinkedIn 報告稱，一名黑客利用 API 的數(shù)據(jù)抓取技術(shù)收集了超過7 億用戶的信息，并在暗網(wǎng)上出售。
2021 年，Peloton 維護(hù)的 API允許惡意行為者請求 PII，包括年齡、性別、城市、體重和出生日期。
2022 年，Twitter 解決了 API 漏洞，導(dǎo)致540 萬個用戶賬戶的數(shù)據(jù)泄露，包括電話號碼和電子郵件地址。
2023 年，T-Mobile 報告稱 API 漏洞導(dǎo)致3700 萬客戶的數(shù)據(jù)被盜，包括姓名、電子郵件、地址、電話號碼、出生日期等。

這些攻擊的廣度和種類揭示了安全和工程領(lǐng)導(dǎo)者面臨的挑戰(zhàn)。一些攻擊利用了錯誤地暴露在互聯(lián)網(wǎng)上的 API。其他攻擊使用錯誤地暴露在代碼存儲庫中的 API 密鑰或其他身份驗證方法。或者攻擊者通過 VPN 漏洞訪問內(nèi)部環(huán)境并使用內(nèi)部 API 竊取數(shù)據(jù)。

阻止 API 攻擊需要正確的策略和工具

防范 API 威脅的最常見方法是將傳統(tǒng)的 Web 應(yīng)用程序安全策略與現(xiàn)代 API 安全技術(shù)相結(jié)合。面對當(dāng)今各種 API 威脅，傳統(tǒng)策略往往顯得力不從心。自動 API 發(fā)現(xiàn)和 API 對比測試等現(xiàn)代技術(shù)試圖彌補這些差距。

對于企業(yè)來說，至關(guān)重要的是采取正確的防護(hù)措施（實施全局控制和安全策略來保護(hù)已部署的應(yīng)用程序和 API）和向左移動（在代碼中構(gòu)建安全性以在應(yīng)用程序和 API 投入生產(chǎn)之前消除漏洞）。這兩種策略都無法單獨提供全面的 API 安全性，因此防止違規(guī)的關(guān)鍵是采取涵蓋三類 API 安全實踐的整體方法：

API 安全態(tài)勢管理 ——提供對 API 集合安全狀態(tài)的可見性，包括暴露的數(shù)據(jù)類型和請求方法
API 安全測試——評估 API 生命周期中關(guān)鍵點的安全性，以識別潛在漏洞
API 運行時保護(hù) ——檢測并阻止惡意請求在運行期間到達(dá) API

通過將正確的策略與正確的工具相結(jié)合，組織可以更好地保護(hù)其 API 免受攻擊并確保其軟件系統(tǒng)的安全。讓我們來看看平臺工程領(lǐng)導(dǎo)者需要實施哪些重要功能和工具來保護(hù)整個生命周期的 API。

什么是 API 安全態(tài)勢管理？

API 安全態(tài)勢管理可讓您了解 API 公開的數(shù)量、類型、位置和數(shù)據(jù)。這些信息可幫助您了解與每個 API 相關(guān)的風(fēng)險，以便您采取適當(dāng)?shù)拇胧﹣肀Ｗo(hù)它。

主要功能：

自動 API 發(fā)現(xiàn)– 自動且持續(xù)的 API 發(fā)現(xiàn)，以全面了解環(huán)境中部署的 API
API 特性——按協(xié)議或架構(gòu)（REST、GraphQL、SOAP 等）識別和分類 API，并映射敏感數(shù)據(jù)流以了解您的風(fēng)險敞口
API 編目——維護(hù)完整的 API 列表，以鼓勵軟件團隊重復(fù)使用現(xiàn)有 API，并幫助 SecOps 團隊構(gòu)建完整的安全態(tài)勢視圖

代表性技術(shù)：

Web 應(yīng)用程序和 API 保護(hù) (WAAP) – 利用 API 基礎(chǔ)設(shè)施中的全球特權(quán)地位來分析進(jìn)入和離開環(huán)境的流量、識別 API 并構(gòu)建風(fēng)險敞口視圖
內(nèi)聯(lián)或基于代理的發(fā)現(xiàn)——將代理附加到現(xiàn)有的 API 網(wǎng)關(guān)、負(fù)載均衡器或 Kubernetes Ingress 控制器，以鏡像和分析 API 流量
帶外或無代理發(fā)現(xiàn)——使用流量鏡像或?qū)С龅娜罩竞椭笜?biāo)來分析 API 流量；通常對 API 和威脅的可見性低于其他技術(shù)
域爬蟲——API 安全提供商可能會提供爬蟲來探測你的域中是否存在暴露的 API 端點，這些端點允許流量繞過可以實施安全策略的 API 網(wǎng)關(guān)和負(fù)載均衡器

重要的是要記住，沒有任何技術(shù)可以可靠地找到架構(gòu)中的每個 API。大多數(shù)發(fā)現(xiàn)技術(shù)依賴于現(xiàn)有負(fù)載均衡器、API 網(wǎng)關(guān)和 Ingress 控制器提供的可見性，并且不太可能捕獲繞過這些架構(gòu)組件的錯誤配置。

最終，代碼審查和遵循 API 優(yōu)先最佳實踐可以提供更有效的長期預(yù)防。但自動化 API 發(fā)現(xiàn)工具仍然有助于快速構(gòu)建安全態(tài)勢視圖并捕獲可能不受管理和不安全的 API。

什么是 API 安全測試？

雖然 API 安全態(tài)勢管理與整個企業(yè)的安全有關(guān)，但 API 安全測試則主要針對單個 API。從最基本的方面來說，API 安全測試通過測試 API 運行時（即在 API 后面運行的應(yīng)用程序）來幫助識別和預(yù)防漏洞及其相關(guān)風(fēng)險。它有助于確保滿足基本安全要求，包括身份驗證、授權(quán)、速率限制和加密的條件。

主要功能：

API 契約測試– 使用 API 的 OpenAPI 規(guī)范，通過比較客戶端請求和服務(wù)器響應(yīng)來驗證其是否按設(shè)計執(zhí)行。它使用“由內(nèi)而外”的方法來發(fā)現(xiàn) API 在部署之前是否存在漏洞。
動態(tài)應(yīng)用程序安全測試 (DAST) – 模擬針對 API 運行時的攻擊以查找漏洞，像惡意用戶一樣從“外部”評估 API。

代表性技術(shù)：

API 合同測試軟件——用于運行測試的專用工具，可分段 API 請求和響應(yīng)，以驗證客戶端和服務(wù)器行為是否符合 API 合同
應(yīng)用程序安全測試 (AST) 軟件– 通過模擬攻擊來分析和測試應(yīng)用程序（包括 API）的工具

有開源契約測試工具，也有專門的 API 安全供應(yīng)商提供的商業(yè)產(chǎn)品。應(yīng)用程序安全測試 (AST) 市場已經(jīng)存在了幾十年，越來越多的供應(yīng)商提供專門的 API 掃描和測試工具。

什么是 API 運行時保護(hù)？

API 運行時保護(hù)是指在 API 運行和管理請求時對其進(jìn)行保護(hù)。它優(yōu)先考慮在平臺基礎(chǔ)架構(gòu)以及 API 本身的代碼中構(gòu)建安全性。目標(biāo)是識別和阻止部署后出現(xiàn)的惡意 API 請求。
主要功能：

訪問控制– 強制實施身份驗證 (authN) 和授權(quán) (authZ) 策略
網(wǎng)絡(luò)安全——加密并保護(hù)網(wǎng)絡(luò)通信
應(yīng)用程序保護(hù)——保護(hù) API 運行時免受惡意 API 請求和攻擊
實時監(jiān)控——可視化、跟蹤和緩解跨 API 基礎(chǔ)設(shè)施的攻擊

代表性技術(shù)：

API 網(wǎng)關(guān)——應(yīng)用并執(zhí)行安全策略，包括身份驗證、授權(quán)、速率限制、訪問控制列表和加密
Web 應(yīng)用程序防火墻 (WAF) – 通過根據(jù)攻擊特征主動監(jiān)控和過濾流量，保護(hù) API 和應(yīng)用程序免受復(fù)雜的第 7 層攻擊
身份提供商 (IdP) – 存儲和驗證用戶身份的服務(wù)，通常與單點登錄 (SSO) 提供商合作對用戶進(jìn)行身份驗證

并非所有 API 網(wǎng)關(guān)和 WAF/WAAP 都生來平等。某些服務(wù)（尤其是云和其他平臺上提供的原生解決方案）缺乏多云和混合架構(gòu)所需的全球可視性和標(biāo)準(zhǔn)化。

API 安全最佳實踐

鑒于保護(hù) API 的重要性，以有組織的方式處理 API 安全問題至關(guān)重要。平臺工程和安全領(lǐng)導(dǎo)者必須共同努力，解決整個 API 生命周期的安全要求。正如我們之前所探討的，這大致涉及三個主要實踐領(lǐng)域：API 安全態(tài)勢管理、API 安全測試和 API 運行時保護(hù)。換句話說，您需要專注于了解您有多少個 API、如何測試它們是否存在錯誤以及如何在代碼中構(gòu)建安全性。

結(jié)論

與所有網(wǎng)絡(luò)安全一樣，API 安全是一個持續(xù)的過程，需要與許多利益相關(guān)者合作，包括網(wǎng)絡(luò)工程師、安全運營負(fù)責(zé)人、平臺工程負(fù)責(zé)人和軟件開發(fā)工程師。好消息是，如何保護(hù) API 并不是什么難事。

大多數(shù)組織已經(jīng)采取措施來對抗眾所周知的攻擊，例如跨站點腳本、注入、分布式拒絕服務(wù)以及其他可以針對 API 的攻擊。上述許多最佳實踐對于經(jīng)驗豐富的安全專業(yè)人員來說可能非常熟悉。無論您的組織運營多少個 API，您的目標(biāo)都是建立可靠的 API 安全策略并隨著時間的推移主動管理它們。

文章來源：Prevent API Attacks with Essential Tools and Best Practices for API Security