在过来,勒索软件是 DevOps 团队经常放心的次要平安威逼。只管当初勒索软件攻打仍在产生,但随着企业平安防护能力与意识加强,勒索软件造成的平安威逼已不如从前。然而,依据 Gartner 考察显示,API 安全漏洞在 2021 年增量高达 600%,逐步成为歹意攻击者发动攻打的次要媒介。 DevOps 强化 API 安全性火烧眉毛。
本文将概述当今 API 平安状态,并在扩大 DevOps 现有勒索软件进攻技术以爱护 API 方面提供一些思路和技巧。
API 的劣势
API 次要用于特定类型的应用程序、B2B 或基础设施集成。当转向微服务和分布式架构时,外部 API 就成为将应用程序环节联合在一起并在应用程序的组件和微组件之间传递信息(有时是敏感信息)的粘合剂。当初,公布公共 API 曾经成为所有软件产品企业的基本操作,据统计目前公共 API 大概有 22000 个。
随着公共 API 的数量减少,其相关联的应用程序和服务受到攻打的危险也随之减少。越来越多的歹意攻击者开始专一于利用 API 来获取敏感信息的拜访权。
从勒索软件保护到 API 爱护
大部分人可能过认为爱护 API 须要全新的平安工具与实际。但实际上,缓解勒索软件危险和加重 API 平安危险之间存在着相似之处。DevOps 团队能够通过拓展现有的勒索软件进攻技术来爱护 API 平安,以下是供 DevOps 团队参考的一些策略和办法。
阻止横向挪动
与勒索软件一样,歹意攻击者通过利用缺点和破绽横向从端点流传到端点,API 破绽利用通常也横向流传到整个环境中。
这就意味着,尽管无奈阻止所有 API(或勒索软件)攻打侵入边界,但 DevOps 团队能够采取措施阻止破绽持续扩充。通过尽早检测环境中的歹意流动,DevOps 团队能够阻止威逼的横向流传,防止大规模入侵。
关注数据安全
勒索软件攻打和 API 攻打都专一于敏感数据。勒索软件攻击者通过毁坏数据威逼来勒索赎金。而 API 攻击者通过透露数据(或抛售数据),例如,歹意攻击者从受感化的 Peloton 账户上窃取敏信息,以及毁坏 LinkedIn 的 API 来窃取约 7 亿用户的数据,从而给企业名誉造成重大负面影响。
因而,升高勒索软件危险和 API 平安危险能够落在爱护数据安全上。 通过对外部和公共 API 的性能施行弱小的访问控制和分段,能够升高因为 API 安全漏洞导致的数据泄露危险。
应用行为平安模型
当面临 zero-day 攻打和未知攻打时,基于签名的安全控制对勒索软件和 API 攻打都不起作用。只管企业曾经全力以赴去强化平安环境,但还是无奈防止破绽绕过进攻的状况产生。
因而 部署基于行为的平安模型时防备勒索软件和 API 攻打的要害。行为平安模型可能检测环境中的异样流动,例如异样类型的申请或异样的申请模式。通过对行为进行建模和基线化,
这就是为什么部署基于行为的平安模型是防备勒索软件和 API 攻打的要害。行为平安模型检测环境中的异样流动,例如异样类型的申请或奇怪的申请模式。通过对行为进行建模和基线化,并依据您的模型检测异样,您能够避免攻打一旦开始就蔓延开来。
不要依赖基于外围的进攻
企业须要明确的是,爱护零碎环境外围并不是针对勒索软件或 API 攻打的十拿九稳的进攻措施。相同,须要在所有端点、应用程序、服务等之间调配爱护。
如之前所说,咱们无奈百分之百保障攻击者无奈进入企业的零碎。进攻胜利很大水平上取决于企业是否有能力让歹意攻击者难以将他们的攻打从小规模冲破降级为影响宽泛的攻打。
同样,没有什么能够保障攻击者不会进入。你的进攻胜利很大水平上取决于你是否有能力让他们难以将他们的攻打从小规模冲破降级为影响宽泛的攻打的资源。
关注外表以外的防护
勒索软件和 API 攻打的相似之处在于,这两者通常都波及旨在回避常见安全监控工具的攻打办法。
比方,攻击者可能会尝试利用端口 80 或 443(默认 HTTP/HTTPS 端口),这些端口简直总在防火墙上关上着。因而,DevOps 团队必须防止仅依赖规范端口或加密来爱护 API 流量的形式。相同,必须要对无效负载深入研究,而后解析和了解协定。监控和收集来自多个起源的数据,而后对其进行关联和剖析,以更深刻地理解环境中理论产生的状况。
结 论
勒索软件攻打和 API 平安攻打在某些方面有着基本的不同,它们波及对不同协定的利用,且攻击者的指标通常有所不同。但就攻击者的操作形式、他们想要窃取的内容(比方敏感信息和数据)以及基于边界的进攻、勒索软件攻打和 API 攻打的限度而言,这两者十分类似。
因而开发人员和 DevOps 团队无需重新考虑他们的整个安全策略来应答 API 攻打激增。相同,通过现有的勒索软件进攻技术,DevOps 团队能够在此基础上进行拓展,以爱护 API 平安。
参考链接:
https://www.gartner.com/en/we…
https://www.c2experience.com/…