应用程序编程接口是现代应用程序架构解决方案,可通过改进连接性和启用可组合架构来支持数字业务。它们用于支持跨网络、移动和其他渠道的现代用户体验。它们还支持内部流程、客户和合作伙伴的集成和自动化。 在过去十年中,尊龙凯时登录API 部署呈爆炸式增长,但随着这种流行,恶意行为者也开始关注。许多 API 安全事件已经发生,尤其是数据泄露。这些事件提高了人们对 API 漏洞的认识,但由于由 API 交互组成的大量 Web 流量,攻击和违规行为仍在继续发生。 许多组织保护 API 流量的方式与保护其遗留应用程序的方式相同。但是,通用应用程序安全控制不足以保护 API 事务。安全和风险管理领导者必须与应用技术专家合作,建立并完善他们的 API 安全计划,以应对这种日益增长的威胁形势。 许多 API 泄露事件都有一个共同点:被泄露的组织直到为时已晚才知道他们的 API 不安全。API 安全的第一步是发现组织从第三方交付或使用的 API。 移动和 Web 应用程序是一个很好的起点。API 的另一个常见来源是应用程序集成,它涉及集成产品用来提供对应用程序或数据的访问的 API。一些组织可能还有一个开放的 API 程序,包括开发人员门户,并且必须保护这些公共 API。最后,考虑组织使用的任何第三方 API。 发现组织的 API 后,下一步是根据曝光度、业务环境和技术对它们进行分类。然后,确定 API 的潜在漏洞。最常见的 API 漏洞路径包括:
访问控制是 API 安全的重要组成部分。它包含身份验证(验证主体身份的过程)和授权(确定主体是否有权访问特定资源的过程)。 访问控制功能中的漏洞通常是针对 API 的最常见攻击点,会导致数据泄露、丢失和操纵。Web 应用程序历来使用基本身份验证(用户名和密码)来允许用户访问。当组织开始部署 API 时,通常会继承这种机制。 成熟的组织使用现代 API 访问控制机制。现代 API 访问控制策略基于对组织用例的四个关键维度的评估:
为确保进行适当的风险评估和分类,请使用这些维度来定义组织的 API 访问控制要求。 API 安全程序必须防范三种常见的攻击模式:拒绝服务、滥用功能和漏洞利用。API 威胁保护由运行时或外围技术组成,可识别和防止属于这三类的攻击。 典型的威胁防护技术包括: 这些技术共同构成了 Web 应用程序和 API 保护或 WAAP 解决方案。除了 WAAP 功能外,组织还经常将 API 网关和管理系统添加到其基础架构中。 随着 API 威胁态势的增长,应用程序安全领导者必须建立并完善他们的 API 安全计划,以应对这种日益增长的威胁态势。这种方法可以帮助组织建立全面的 API 可见性计划,设置机制来检查 API 是否符合组织的身份验证和加密标准,并为关键的面向外部的 API 部署专门的威胁防护。 编译自:https://siliconangle.com/ |
部门热线
前 台:13588889999
业务部:13588889999
客服部:13588889999
技术部:13566667777
人事部:13566667777