2023年API安全技術發展的6個“大事件”
責編:gltian |2023-09-22 16:59:33API技術逐漸成了現代數字業務環境的基礎組成,也是企業數字化轉型發展戰略實現的核心要素,幾乎所有的企業都依賴API進行服務連接、數據傳輸和系統控制。然而,API的爆炸式應用也為攻擊者提供了更多的方法,而現有的安全工具卻難以檢測和減輕特定于API的威脅,使組織容易受到妥協、濫用和欺詐的影響。
據網絡安全廠商Traceable AI最新發布的報告數據顯示,在過去兩年中,由API引發的網絡攻擊面正在持續增加,60%的受訪企業發生過與API相關的安全事件,其中74%的組織存在三次或以上的安全事件。同時,能夠有效識別API活動及用戶行為的企業不足四成,有57%的受訪企業表示傳統的安全解決方案難以識別API活動和API欺詐事件。更糟糕的是,61%的受訪組織預計未來兩年API相關風險將繼續攀升,但只有33%的受訪組織對有效管理API威脅有信心。
由于API在設計架構上的特殊性,它們無法通過傳統的應用安全工具進行有效的保護,而是需要企業安全團隊的更全面關注,并從更廣泛的角度解決API應用安全缺口。以下是今年以來6個值得關注的API計劃、項目和事件,旨在幫助組織改進和優化API應用的安全性。
1、Open Gateway API計劃推出
今年2月,全球移動行業協會GSMA推出了GSMA開放網關(GSMA Open Gateway)計劃,這是一項面向全行業的API安全性保護倡議,旨在幫助應用系統的開發者和云服務商通過開放網絡API框架,加強與移動運營商的合作,從而更安全地提供對全球運營商網絡的訪問服務。研究人員表示,該計劃或將成為云基礎設施服務與運營商物理網絡之間的通用安全“粘合劑”。
據GSMA相關負責人介紹,Open Gatewa API計劃已經得到全球超過20家的移動網絡運營商的支持,包括America Movil、AT&T、Axiata、Bharti Airtel、德國電信、KT、法國電信、威瑞森和沃達豐等,以及我國的電信運營商中國移動。
2、零信任API安全參考架構發布
今年6月,創新安全公司Traceable AI發布了零信任API安全參考架構,這是一個將API安全性集成到零信任安全架構的實踐指南。據Traceable AI表示,該架構與NIST零信任架構保持一致,確保了兼容性、互操作性和法規遵從性,幫助企業組織以可靠的方式實現零信任架構下的API應用安全性。該架構主要概述了如下內容:
- 確定了API級別的零信任關鍵原則和定義;
- 明確零信任在API級別方面需要考慮的因素;
- 組織在零信任部署中實現API安全性的策略。
3、《API安全最佳實踐白皮書》編寫完成
今年6月,F5公司完成編寫并發布了《API安全最佳實踐:API防護的關鍵考慮因素》(API Security Best Practices: Key Considerations for API Protection)白皮書,概述了現代企業組織面臨的各種API安全挑戰和風險,以及安全和風險團隊可用于加強組織API安全的策略。
白皮書研究發現,API促進了去中心化和分布式架構,為第三方能力集成提供了更多的機會,也從根本上改變了安全和風險團隊的運作方式。為了應對API安全,新一代防護方案需要包括持續監控和保護API端點,以及對不斷變化的應用程序生命周期做出反應。
電子書傳送門:
https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection
4、《Web應用安全性指南》聯合發布
今年7月,澳大利亞網絡安全中心(ACSC)、美國網絡安全和基礎設施安全局(CISA)?以及美國國家安全局(NSA)聯合發布《Web應用安全性指南》,警告Web應用程序的供應商、開發人員和用戶組織,應該高度關注和避免不安全的直接對象引用(IDOR)漏洞。
IDOR漏洞是一種訪問控制漏洞,允許惡意行為者通過向網站或Web API發出指定其他有效用戶的用戶標識符的請求,來修改或刪除數據或訪問敏感數據。IDOR攻擊是最常見且危害性巨大的API攻擊形式之一,已導致數百萬用戶和消費者的個人信息泄露。為此,報告編寫人員強烈鼓勵供應商、設計人員、開發人員和最終用戶組織盡快實施以下安全建議:
- 實施設計安全和默認原則,并確保軟件對每個訪問敏感數據的請求執行身份驗證和授權檢查;
- 使用自動化工具進行代碼審查來識別和修復IDOR漏洞;
- 使用間接引用映射,確保ID、名稱和密鑰不會在URL中公開,并將它們替換為加密強度高的隨機值;
- 引用第三方庫或框架時要進行安全性盡職調查,并使所有第三方框架和依賴項保持最新;
- 選擇Web應用程序時要進行安全性盡職調查,遵循供應鏈風險管理的最佳實踐;
- 盡快為存在安全隱患的Web應用打上補丁;
- 定期進行主動漏洞掃描和滲透測試,以幫助確保面向互聯網的Web應用程序和網絡邊界的安全。
5、OWASP更新API安全風險列表
今年7月,OWASP發布了本年度API安全性Top10榜單,詳細介紹了企業面臨的十大API安全風險。這是自2019年發布以來首次更新特定于API的風險指南,旨在教育那些參與API開發和維護的人員(例如開發人員、設計人員、架構師、管理人員或組織)規避常見的API安全風險。最新的API安全風險列表如下:
- 對象級授權失敗(BOLA);
- 破損的身份驗證;
- 對象屬性級別授權失敗;
- 無限制地資源消耗;
- 功能級別授權失敗;
- 無限制訪問敏感業務流;
- 服務器端請求偽造(SSRF);
- 安全配置錯誤;
- 庫存管理不當;
- 不安全的API使用。
6、加強API安全生態系統合作的STEP計劃推出
今年8月,安全公司Salt Security啟動了Salt技術生態系統合作伙伴(Salt Technical Ecosystem Partner,STEP)計劃,旨在整合整個API生態系統的解決方案,并使組織能夠強化自身的API安全態勢。該計劃旨在幫助企業開展基于風險的API應用安全測試方法,將掃描工作集中在高優先級的API應用上。
StackHawk首席執行官Joni Klippert表示:“為了提供強大的AppSec程序,開發人員需要使用更先進的技術,在將代碼部署到生產環境之前,簡化查找和修復漏洞的過程。鑒于API開發的爆炸式增長,團隊需要優先考慮并自動化API的安全測試,并以與開發人員工作流程無縫集成的方式進行測試。”
參考鏈接:
https://www.csoonline.com/article/652754/6-notable-api-security-initiatives-launched-in-2023.html
來源:安全牛