根据 Cloudflare 2024 年 API 安全与管理报告,到 2024 年,API 请求占全球动态互联网流量的 57%,这证实 API 是现代软件开发的重要组成部分。但随着多年来它们的采用不断增加,相关的安全挑战也随之增加。
在过去两年中,60% 的组织至少经历过一次涉及 API 的泄露。这是一个令人震惊的趋势,可以而且必须加以解决。
API 安全性不足的后果
黑客喜欢利用 API 的原因有很多,但主要是因为它们可以让他们绕过安全控制并轻松访问敏感的公司和客户数据以及某些功能。
最近发生的一起涉及社交媒体平台 Spoutible API 公开的事件可能导致攻击者窃取用户的 2FA 机密、加密的密码重置令牌等。
此类事件可能会导致客户和业务合作伙伴失去信任,从而导致财务损失和品牌价值下降。
不良的 API 安全实践还会产生监管和法律后果,导致公司运营中断,甚至导致知识产权被盗。
针对 API 的攻击
攻击者可以对 API 发起各种攻击:
● 分布式拒绝服务
● 暴力破解
● 代码注入
● 中间人 (MitM)
API 的性质还使得攻击更容易执行,从而产生更具破坏性的影响。传统的网络杀伤链由攻击者为了利用和破坏系统而必须经历的七个阶段组成,而 API 易于利用,并有效地将杀伤链从七个简单阶段缩短为三个阶段:侦察、武器化和攻击。
无需安装恶意软件、控制您的系统或完成任何活动来利用您的系统;通过API,攻击者可以通过发出简单的请求来访问大量敏感信息。
规划策略
对于每个想要保证数字资产安全并保护敏感客户数据的组织来说,良好的 API 安全策略至关重要。
OWASP 不断更新其十大 API 安全威胁列表。虽然安全从业者不能仅仅依赖这些数据,但在规划有效的安全策略时,该列表仍然是一个重要的工具。
遵守 NIST 网络安全框架也是规划良好 API 安全策略的重要步骤。网络安全流程的关键阶段(识别、保护、检测、响应和恢复)是处理高优先级风险的通用方法。
考虑到这一点,组织需要实施 API 安全最佳实践:
● 实现身份验证和授权
● 使用 SSL/TLS 加密
● 实施零信任访问控制
● 定期进行安全测试和风险评估
● 定期更新并及时修补漏洞
● 持续监控异常活动并发出警报
● 使用 API 网关
● 使用 Web 应用程序和 API 保护 (WAAP) 解决方案
还建议限制数据暴露(通过屏蔽、过滤和匿名化)、管理 API 端点并启用安全策略自动化。
最后,也是最重要的一点,开发和 IT 团队需要持续接受关于新的和不断发展的威胁以及 API 安全最佳实践的教育和培训。将安全性构建到 API 中是确保 API 漏洞不会成为安全漏洞的最佳方法。
