到2022年,预计API将成为最常见的攻击媒介,因此,以API为先的安全策略如今比以往任何时候都更为重要。

应用程序编程接口(API)是数字世界中几乎所有事物的中心。对于消费者而言,API构成了从智能手机应用程序到电子支付等更多内容的基础。对于企业而言,API使从低效的整体应用程序架构向更加敏捷和模块化的微服务架构的转变成为了可能,该架构正迅速成为新兴技术的标准。

可以公平地说,当今构建的几乎所有软件都使用API​​或使用API​​。而且由于大流行,随着对远程服务和应用程序使用的增加,我们对这些至关重要的代码段在应用程序和系统之间共享信息的依赖也增加了。

在考虑API如何实现远程工作时,请查看诸如Slack之类的通信工具,该工具依赖于API的许多功能和集成。API驱动的服务甚至使与同事安排视频会议这样的简单任务成为可能。对于那些接受过较少技术培训的人员来说,API变得越来越方便,因此入门的知识障碍将越来越小。

随着API的普及程度不断提高,它们作为网络犯罪分子的攻击媒介的流行程度也随之提高,因为不良行为者一直都喜欢目标最丰富的技术。当每个API请求都是黑客利用的另一个机会时,API安全至关重要。

预测,API将成为最常见的攻击媒介。然而,尽管人们对API安全性有了更高的认识,但违反行为仍在继续发生。

在这种情况下,组织就该采用API优先的安全策略了。公司应该注意通过API传输的海量数据(并且不断增加),并在API开发生命周期的每个阶段将更强大的安全性作为优先事项。

API优先的安全策略是什么样的?以下是五个观察结果:

1.高可见度至关重要。 API优先方法就是将API确认为应用程序设计中的一等公民。鉴于API在应用程序之间进行通信时所做的重要工作有所增加,因此API必须具有与超级用户(例如,具有无限特权的IT管理专家)相同的访问控制审查。

这意味着强调可见性和问责制。如果看不到它,就无法说明它,因此需要更多的可见性控件来实现API安全。好消息是,组织无需重新发明轮子即可上手。Web应用程序防火墙(WAF),OWASP漏洞扫描工具以及对传输层安全性(TLS)的巧妙使用和正确的身份验证都可以提供一致的控件和可见性。

2. REST API是一个日益增长的目标。 REST(代表性状态转移)是技术的管道胶带,它定义了如何通过使用HTTP请求访问和使用数据的方式将系统彼此连接(并进行交互)。REST API在企业应用程序开发中的使用已变得非常普遍,以至于许多公司都难以定义其所有部署的清晰画面。这些可见性差距使API难以保护。

组织必须改进以保持其REST用例的准确,最新清单,并采用TLS和身份验证密钥之类的安全通道来降低风险。

3.加密所有数据是关键。 这不仅在数据处于静止状态时,而且在传输中都是如此。在这种加密方案中,API将使用TLS和授权令牌安全地传输数据,并且API正在访问的数据也应进行加密。请记住,这种加密策略是 深度防御;关于冗余的迫切需求,有一个经典的军事谚语很好地概括了这个想法:“二是一,一是无。”

4.凭证填充仍然是一个巨大的问题,并且是一个不断发展的威胁。 凭证填充是一种使用自动注入被盗凭证来获得未经授权的访问的做法。公司在保护前端应用程序和网页以抵御凭据填充方面做得更好。尽管如此,黑客仍越来越多地将目标锁定在后端API上,而这些API历来往往没有那么多实施的安全控制措施。

Akamai最近的一份报告证明了这一点,该 报告 显示,现在五分之一的尝试通过API而不是面向用户的登录页面来获得对用户帐户的未授权访问。公司必须在其API优先安全策略中考虑这一趋势,并更好地保护后端API免受这些攻击。

5.自动检查应该是标准做法。 如果自动安全检查完全实现,我很少会看到自动安全检查作为CI / CD管道的一部分而感到沮丧。一个成熟的应用程序安全团队应与工程团队合作,将安全性设计和整合到管道中,并允许组织通过其产品来扩展安全性。

与其问为什么这种做法不常见,不如问为什么在CI / CD管道中实现安全性并不那么直接和便宜。为什么某些开发人员工具不包含使安全检查更易于管理的功能?为什么在运行的服务上审核API安全性问题如此昂贵?开发工具供应商正在采取哪些措施来改善其用户的体验并帮助开发人员突破其安全等级?

我希望并期望API行业在2021年及以后的发展中能更好地解决这些问题。

正如这五点所表明的那样,追求API优先安全策略并将API安全烘烤到软件开发生命周期中需要优先级和意图。但这值得付出努力。几分钟的主动安全测试可以节省数小时或数天的停机时间,并节省日后的律师费。