压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

API技術逐漸成了現(xiàn)代數(shù)字業(yè)務環(huán)境的基礎組成，也是企業(yè)數(shù)字化轉型發(fā)展戰(zhàn)略實現(xiàn)的核心要素，幾乎所有的企業(yè)都依賴API進行服務連接、數(shù)據(jù)傳輸和系統(tǒng)控制。然而，API的爆炸式應用也為攻擊者提供了更多的方法，而現(xiàn)有的安全工具卻難以檢測和減輕特定于API的威脅，使組織容易受到妥協(xié)、濫用和欺詐的影響。

據(jù)網(wǎng)絡安全廠商Traceable AI最新發(fā)布的報告數(shù)據(jù)顯示，在過去兩年中，由API引發(fā)的網(wǎng)絡攻擊面正在持續(xù)增加，60%的受訪企業(yè)發(fā)生過與API相關的安全事件，其中74%的組織存在三次或以上的安全事件。同時，能夠有效識別API活動及用戶行為的企業(yè)不足四成，有57%的受訪企業(yè)表示傳統(tǒng)的安全解決方案難以識別API活動和API欺詐事件。更糟糕的是，61%的受訪組織預計未來兩年API相關風險將繼續(xù)攀升，但只有33%的受訪組織對有效管理API威脅有信心。

由于API在設計架構上的特殊性，它們無法通過傳統(tǒng)的應用安全工具進行有效的保護，而是需要企業(yè)安全團隊的更全面關注，并從更廣泛的角度解決API應用安全缺口。以下是今年以來6個值得關注的API計劃、項目和事件，旨在幫助組織改進和優(yōu)化API應用的安全性。

1、Open Gateway API計劃推出

今年2月，全球移動行業(yè)協(xié)會GSMA推出了GSMA開放網(wǎng)關（GSMA Open Gateway）計劃，這是一項面向全行業(yè)的API安全性保護倡議，旨在幫助應用系統(tǒng)的開發(fā)者和云服務商通過開放網(wǎng)絡API框架，加強與移動運營商的合作，從而更安全地提供對全球運營商網(wǎng)絡的訪問服務。研究人員表示，該計劃或將成為云基礎設施服務與運營商物理網(wǎng)絡之間的通用安全“粘合劑”。

據(jù)GSMA相關負責人介紹，Open Gatewa API計劃已經(jīng)得到全球超過20家的移動網(wǎng)絡運營商的支持，包括America Movil、AT&T、Axiata、Bharti Airtel、德國電信、KT、法國電信、威瑞森和沃達豐等，以及我國的電信運營商中國移動。

2、零信任API安全參考架構發(fā)布

今年6月，創(chuàng)新安全公司Traceable AI發(fā)布了零信任API安全參考架構，這是一個將API安全性集成到零信任安全架構的實踐指南。據(jù)Traceable AI表示，該架構與NIST零信任架構保持一致，確保了兼容性、互操作性和法規(guī)遵從性，幫助企業(yè)組織以可靠的方式實現(xiàn)零信任架構下的API應用安全性。該架構主要概述了如下內(nèi)容：

• 確定了API級別的零信任關鍵原則和定義；
• 明確零信任在API級別方面需要考慮的因素；
• 組織在零信任部署中實現(xiàn)API安全性的策略。

3、《API安全最佳實踐白皮書》編寫完成

今年6月，F(xiàn)5公司完成編寫并發(fā)布了《API安全最佳實踐：API防護的關鍵考慮因素》（API Security Best Practices: Key Considerations for API Protection）白皮書，概述了現(xiàn)代企業(yè)組織面臨的各種API安全挑戰(zhàn)和風險，以及安全和風險團隊可用于加強組織API安全的策略。

白皮書研究發(fā)現(xiàn)，API促進了去中心化和分布式架構，為第三方能力集成提供了更多的機會，也從根本上改變了安全和風險團隊的運作方式。為了應對API安全，新一代防護方案需要包括持續(xù)監(jiān)控和保護API端點，以及對不斷變化的應用程序生命周期做出反應。

電子書傳送門：

https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection

4、《Web應用安全性指南》聯(lián)合發(fā)布

今年7月，澳大利亞網(wǎng)絡安全中心（ACSC）、美國網(wǎng)絡安全和基礎設施安全局（CISA）?以及美國國家安全局（NSA）聯(lián)合發(fā)布《Web應用安全性指南》，警告Web應用程序的供應商、開發(fā)人員和用戶組織，應該高度關注和避免不安全的直接對象引用（IDOR）漏洞。

IDOR漏洞是一種訪問控制漏洞，允許惡意行為者通過向網(wǎng)站或Web API發(fā)出指定其他有效用戶的用戶標識符的請求，來修改或刪除數(shù)據(jù)或訪問敏感數(shù)據(jù)。IDOR攻擊是最常見且危害性巨大的API攻擊形式之一，已導致數(shù)百萬用戶和消費者的個人信息泄露。為此，報告編寫人員強烈鼓勵供應商、設計人員、開發(fā)人員和最終用戶組織盡快實施以下安全建議：

• 實施設計安全和默認原則，并確保軟件對每個訪問敏感數(shù)據(jù)的請求執(zhí)行身份驗證和授權檢查；
• 使用自動化工具進行代碼審查來識別和修復IDOR漏洞；
• 使用間接引用映射，確保ID、名稱和密鑰不會在URL中公開，并將它們替換為加密強度高的隨機值；
• 引用第三方庫或框架時要進行安全性盡職調(diào)查，并使所有第三方框架和依賴項保持最新；
• 選擇Web應用程序時要進行安全性盡職調(diào)查，遵循供應鏈風險管理的最佳實踐；
• 盡快為存在安全隱患的Web應用打上補丁；
• 定期進行主動漏洞掃描和滲透測試，以幫助確保面向互聯(lián)網(wǎng)的Web應用程序和網(wǎng)絡邊界的安全。

5、OWASP更新API安全風險列表

今年7月，OWASP發(fā)布了本年度API安全性Top10榜單，詳細介紹了企業(yè)面臨的十大API安全風險。這是自2019年發(fā)布以來首次更新特定于API的風險指南，旨在教育那些參與API開發(fā)和維護的人員（例如開發(fā)人員、設計人員、架構師、管理人員或組織）規(guī)避常見的API安全風險。最新的API安全風險列表如下：

1. 對象級授權失敗（BOLA）；
2. 破損的身份驗證；
3. 對象屬性級別授權失敗；
4. 無限制地資源消耗；
5. 功能級別授權失敗；
6. 無限制訪問敏感業(yè)務流；
7. 服務器端請求偽造（SSRF）；
8. 安全配置錯誤；
9. 庫存管理不當；
10. 不安全的API使用。

6、加強API安全生態(tài)系統(tǒng)合作的STEP計劃推出

今年8月，安全公司Salt Security啟動了Salt技術生態(tài)系統(tǒng)合作伙伴（Salt Technical Ecosystem Partner，STEP）計劃，旨在整合整個API生態(tài)系統(tǒng)的解決方案，并使組織能夠強化自身的API安全態(tài)勢。該計劃旨在幫助企業(yè)開展基于風險的API應用安全測試方法，將掃描工作集中在高優(yōu)先級的API應用上。

StackHawk首席執(zhí)行官Joni Klippert表示：“為了提供強大的AppSec程序，開發(fā)人員需要使用更先進的技術，在將代碼部署到生產(chǎn)環(huán)境之前，簡化查找和修復漏洞的過程。鑒于API開發(fā)的爆炸式增長，團隊需要優(yōu)先考慮并自動化API的安全測試，并以與開發(fā)人員工作流程無縫集成的方式進行測試。”

參考鏈接：

https://www.csoonline.com/article/652754/6-notable-api-security-initiatives-launched-in-2023.html