关于html:API-NEWS-凭证泄漏导致API漏洞上升

欢送大家围观小阑精心整顿的 API 平安最新资讯，在这里你能看到最业余、最前沿的 API 平安技术和产业资讯，咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周，咱们带来的分享如下：
一篇对于凭证透露导致 API 破绽回升的文章
一篇对于探讨 API 网关安全性的文章
一篇对于 PCI DSS 4.0 对 API 平安影响的文章

凭证透露导致 API 破绽回升

一篇来自 Security Week 的文章，探讨凭证透露导致的 API 破绽一直增长。最近的一项考察发现，超过一半的美国专业人士曾蒙受过 API 破绽，但 77%人认为他们的组织无效地治理了 API 令牌。这听起来有点矛盾，因为很多专业人士对他们的凭证治理很有信念，但还是会产生凭证相干的 API 破绽状况。
钻研结果表明，这种显著的矛盾背地有三个次要起因：不足对现有 API 组合的可视性；应用的 API 数量太多难以跟踪；低估了治理 API 凭证所需的工夫和精力。这项考察还掂量了凭证治理的老本，并发现大多数受访者每周破费超过 15 小时来治理凭证。
这一数字可能并不齐全精确，但能够看出凭证治理老本的一直回升。问题将只会加剧，因为 API 扩散一直减少，构建环境变得更加扩散，须要更多的凭证散发和治理。面对这些挑战，组织只能抉择疏忽问题或投入更多的金钱来解决凭证管理所带来的问题。

Corsha 公司提出能够缓解这种状况的解决方案，就是为 API 提供多因素认证（MFA）。
这种解决方案有三个长处：

• 能够进行微段隔离，防止网络中的横向流传；
• 升高 MFA 疲劳的危险；

• 打消凭证轮换问题，因为偷盗或透露的凭证无奈在满足 MFA 要求之前应用。
  小阑认为：
  随着 API 数量的一直减少以及对 API 安全性的加强需要，MFA 将成为一个不可或缺的安全措施。同时，还须要思考到人工智能和自动化技术等方面的倒退，以便找到更好的办法来治理 API 凭证，并确保 API 的平安。
  另外，MFA 疲劳攻打是一种重大的平安威逼，能够通过应用自动化工具对受爱护的帐户进行屡次 MFA 尝试来施行。攻击者可能会窃取敏感信息或执行其余不良行为，从而对组织的平安和业务流程造成影响。为了防备 MFA 疲劳攻打，组织能够采纳多种策略，例如应用 MFA 应用程序、设置帐户锁定策略、应用机器学习技术、减少 MFA 代码的复杂度以及增强身份验证。通过采取这些措施，组织能够更好地爱护其用户和敏感数据，并进步安全性。

  你的 API 网关有多平安？

  这是一篇来自 The New Stack 的文章，深刻探讨了 API 网关平安的重要性。
  作者认为，因为 API 网关是基础设施中如此要害的一部分，负责部署网关的人必须充分考虑网关自身的安全性。因为它们与组织基础设施的严密耦合，API 网关很少被更改，这使得抉择网关时安全性成为首要思考因素。

  文章提出有四个因素对 API 网关整体安全性产生影响：
  API 网关个别是在开源实现和公有源代码之上构建的。因而，企业须要应用古代软件资料清单（SBOM）技术来治理整个软件堆栈中的破绽，以便更好地理解 API 网关的危险。
  除此之外，还须要思考 API 网关如何与其余平安防护措施（如 Web 应用程序防火墙、全局防火墙和负载均衡器、监控平台）集成。这种严密集成对于保障应用程序的高性能十分重要，并且须要尽量减少在部署混合多云环境时对操作团队的影响。
  大型企业应该思考在整个组织中执行雷同的策略可能会遇到的问题，特地是当技术堆栈十分异构的时候。这会导致不同反向代理以不同形式实现雷同的策略，从而导致奥妙但重要的差别。这种时候的解决办法是，确保在购买前进行彻底的概念验证（PoC）。
  最初须要特地关注 API 网关的速度（提早），这对长期应用和其安全性至关重要。如果抉择的 API 网关性能不佳，那么 API 团队最终会寻求调整策略，甚至在极其状况下齐全绕过 API 网关。因而，API 的性能通常是 API 网关胜利的关键因素之一。
  小阑解读：
  API 网关的访问控制通常以身份验证机制开始，以便确认调用的起源。目前，最受欢迎的网关验证协定是 OAuth，它充当拜访基于 Web 的资源的代理而不向服务公开明码，基于密钥的身份验证在用于企业时，也有失落数据的案例，还不能百分之百保障密钥完全保密。
  API 网关的劣势：

• 在对立的地位治理和施行；
• 将大部分问题内部化，因而简化了 API 源代码；
• 提供 API 的管理中心和视图，更不便采纳统一的策略；
  API 网关的毛病：
• 容易呈现单点故障或瓶颈；
• 因为所有 API 规定都在一个地位，因而存在复杂性危险；

• 被锁定的危险，日后零碎迁徙并不简略。
  安全性是公司首要思考基础架构中投入的头等关注点。然而，它也是现有 API 开发者最容易漠视的畛域。因为很多公司正在本人构建 API 作为产品，以部署 Web，挪动客户端，物联网和其它应用程序，在整个过程中的每一步都须正确爱护，API 网关是最无效的解决方案之一。

  PCI DSS 4.0 对 API 平安的影响

  PCI DSS 规范是指支付卡行业数据安全规范（Payment Card Industry Data Security Standard），是由 VISA、MasterCard、Discover、JCB 和 American Express 等信用卡品牌独特制订的数据安全规范，旨在确保无关交易的解决和存储数据安全。任何解决信用卡领取的机构都必须恪守该规范。
  PCI DSS 规范包含一些规定和要求，以确保对客户付款信息的爱护，避免数据透露和欺诈行为。

  最新版本 4.0 为软件的平安开发和部署提供了具体条款，文章探讨这些条款对 API 开发人员可能产生的影响。
  以下是与软件开发和部署相干的要害条款：
  6.2 – Bespoke and custom software are developed securely.
  这是采纳平安 SDLC 或采纳“左移”开发的领导。对于 API 开发，开发人员必须尽早理解平安需要，并在整个生命周期中应用平安开发方法。
  6.2.3 – Bespoke and custom software is reviewed prior to being released into production or to customers, to identify and correct potential coding vulnerabilities.
  该条款领导开发人员应用代码审核（包含 OAS 定义和 API 代码）来确保尽可能大程度上缩小编码破绽。这些审核能够在开发生命周期的各个阶段主动进行。
  6.2.4 – Software engineering techniques or other methods are defined and in use by software development personnel to prevent or mitigate common software attacks and related vulnerabilities in bespoke and custom software.
  在 API 上下文中，该控件批示应用高级测试方法来辨认针对 API 的各种软件攻打。倡议的最佳实际是应用特定的 API 测试来检测家喻户晓的破绽类型（如损坏的对象级别受权和损坏的身份验证），次要是应用自动化测试（专用的 API 平安扫描工具）或通过定制浸透测试。
  6.4 Public-facing web applications are protected against attacks.
  该标准规定应爱护面向公众的 API 免受攻打，通常通过 API 网关或专用 API 防火墙。
  小阑认为：
  API 平安的重要性不言自明，它波及到数据和信息的爱护、合规性以及竞争劣势等多个方面，是每个企业在数字化转型过程中必须认真对待和增强的重要环节。
  随着数字化与智能化过程的减速推动，API 成为不同零碎、利用和数据的粘合剂，承当着越来越多的业务性能。而这些业务性能往往包含金融交易数据、个人信息等波及个人隐私和商业秘密的数据。因而，确保 API 的安全性不仅是企业信息安全治理的重要一环，更是整个数字时代信息安全和隐衷爱护的基石。
  感激 http://APIsecurity.io 提供相干内容