随着對企業網絡的攻擊愈趨複雜(zá),公司企業紛紛購入最新防火(huǒ)牆技術、數據及終端防護、入侵預防技術等強化升級自身邊界安全。但道高一(yī)尺魔高一(yī)丈,黑客們也邁向了新的弱點,找尋新的漏洞利用途徑。很多安全專家認爲,下(xià)一(yī)波企業黑客攻擊事件将會通過應用程序編程接口(API)利用來進行。
事實上,網絡罪犯們早已開(kāi)始盤算利用API執行攻擊了。Panera Bread 數據洩露事件就是其中(zhōng)一(yī)個案例。這家烘焙連鎖店(diàn)的網站上開(kāi)放(fàng)了一(yī)個未經驗證的API終端,任何人都可以通過該API查看其客戶信息,比如用戶名、郵箱地址、電(diàn)話(huà)号碼、信用卡後四位、生(shēng)日等等。最終,8個月的時間裏,該公司3700萬客戶數據被洩。由此,如何在不影響敏捷開(kāi)發與功能擴展效益的情況下(xià)最小(xiǎo)化API相關網絡安全風險的問題,引起了業界注意與讨論。
應用程序開(kāi)發中(zhōng)的API使用已成爲新的實際标準,通過集成第三方服務的功能,開(kāi)發人員(yuán)不用再從無到有自己構建所有功能。這麽做可以加快新産品及服務的開(kāi)發過程。消費(fèi)研究公司 One Poll 的一(yī)項調查表明,公司企業平均管理着363個API,其中(zhōng)69%的公司會向公衆及其合作夥伴開(kāi)放(fàng)這些API。開(kāi)發人員(yuán)可以通過搜索API庫來增強其代碼,比如 API Hound 庫就使用機器掃描器收納了5萬多個API,ProgrammableWeb則維護着全球最大(dà)的人工(gōng)收錄的API目錄(内含1.7萬個以上API)。
盡管API支撐着用戶早已習慣的互動式數字體(tǐ)驗,是公司數字化轉型的基礎,但它們同時也爲惡意黑客提供了訪問公司數據的多種途徑,甚至能被用于引發大(dà)範圍業務中(zhōng)斷。利用API的常見攻擊方式包括:
公司企業可采取以下(xià)預防措施來減少API威脅風險:
1. 安全思維貫徹開(kāi)發過程始終
一(yī)個很不幸的現狀是,軟件開(kāi)發過程中(zhōng)DevSecOps(敏捷開(kāi)發運維安全)往往被忽視,甚至面向公網的API安全也被忽視。開(kāi)發人員(yuán)需在整個開(kāi)發過程中(zhōng)考慮API使用的安全影響,多想想API會在哪些方面被用于惡意目的。
API安全的基礎在于實現可靠的身份驗證和授權原則。開(kāi)發人員(yuán)常會使用來自外(wài)部過程(例如注冊API時)的訪問憑證,或通過單獨的機制(例如OAuth)來訪問API。憑證随每次訪問請求發送給API,API在處理請求之前先驗證憑證的有效性。
2. 應用行業安全最佳實踐和标準
應用編碼最佳實踐并密切關注常見API漏洞(例如SQL/腳本注入和身份驗證漏洞),應成爲開(kāi)發人員(yuán)和DevSecOps人員(yuán)的核心最佳操作。編碼最佳實踐和常見API漏洞信息可在開(kāi)放(fàng)Web應用安全計劃(OWASP)中(zhōng)找到。
3. 通過API網關進行監視
将獨立的API集中(zhōng)存儲到應用代碼庫中(zhōng),就可用API網關來監視、分(fēn)析和限制流量,最小(xiǎo)化DDoS風險,實現預設的安全策略(例如身份驗證規則)。One Poll 數據顯示,80%的公司企業使用公共雲服務保護他們API背後的數據,大(dà)多數公司綜合使用API網關(63.2%)和Web應用防火(huǒ)牆(63.2%)。
采用這些DevSecOps建議可以最小(xiǎo)化與API暴露相關的安全風險,讓應用程序免受網絡安全事件侵害。
上一(yī)篇:物(wù)聯網對數據中(zhōng)心有何影響?
下(xià)一(yī)篇:物(wù)聯網、惡意軟件已成工(gōng)業網絡最大(dà)隐患