欢送大家围观小阑精心整顿的API平安最新资讯,在这里你能看到最业余、最前沿的API平安技术和产业资讯,咱们提供对于寰球API平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:
一篇对于凭证透露导致API破绽回升的文章
一篇对于探讨API网关安全性的文章
一篇对于PCI DSS 4.0对API平安影响的文章

凭证透露导致API破绽回升

一篇来自Security Week的文章,探讨凭证透露导致的API破绽一直增长。最近的一项考察发现,超过一半的美国专业人士曾蒙受过API破绽,但77%人认为他们的组织无效地治理了API令牌。这听起来有点矛盾,因为很多专业人士对他们的凭证治理很有信念,但还是会产生凭证相干的API破绽状况。
钻研结果表明,这种显著的矛盾背地有三个次要起因:不足对现有API组合的可视性;应用的API数量太多难以跟踪;低估了治理API凭证所需的工夫和精力。这项考察还掂量了凭证治理的老本,并发现大多数受访者每周破费超过15小时来治理凭证。
这一数字可能并不齐全精确,但能够看出凭证治理老本的一直回升。问题将只会加剧,因为API扩散一直减少,构建环境变得更加扩散,须要更多的凭证散发和治理。面对这些挑战,组织只能抉择疏忽问题或投入更多的金钱来解决凭证管理所带来的问题。

Corsha公司提出能够缓解这种状况的解决方案,就是为API提供多因素认证(MFA)。
这种解决方案有三个长处:

  • 能够进行微段隔离,防止网络中的横向流传;
  • 升高MFA疲劳的危险;

  • 打消凭证轮换问题,因为偷盗或透露的凭证无奈在满足MFA要求之前应用。
    小阑认为:
    随着API数量的一直减少以及对API安全性的加强需要,MFA将成为一个不可或缺的安全措施。同时,还须要思考到人工智能和自动化技术等方面的倒退,以便找到更好的办法来治理API凭证,并确保API的平安。
    另外,MFA疲劳攻打是一种重大的平安威逼,能够通过应用自动化工具对受爱护的帐户进行屡次MFA尝试来施行。攻击者可能会窃取敏感信息或执行其余不良行为,从而对组织的平安和业务流程造成影响。为了防备MFA疲劳攻打,组织能够采纳多种策略,例如应用MFA应用程序、设置帐户锁定策略、应用机器学习技术、减少MFA代码的复杂度以及增强身份验证。通过采取这些措施,组织能够更好地爱护其用户和敏感数据,并进步安全性。

    你的API网关有多平安?

    这是一篇来自The New Stack的文章,深刻探讨了API网关平安的重要性。
    作者认为,因为API网关是基础设施中如此要害的一部分,负责部署网关的人必须充分考虑网关自身的安全性。因为它们与组织基础设施的严密耦合,API网关很少被更改,这使得抉择网关时安全性成为首要思考因素。

    文章提出有四个因素对API网关整体安全性产生影响:
    API网关个别是在开源实现和公有源代码之上构建的。因而,企业须要应用古代软件资料清单(SBOM)技术来治理整个软件堆栈中的破绽,以便更好地理解API网关的危险。
    除此之外,还须要思考API网关如何与其余平安防护措施(如Web应用程序防火墙、全局防火墙和负载均衡器、监控平台)集成。这种严密集成对于保障应用程序的高性能十分重要,并且须要尽量减少在部署混合多云环境时对操作团队的影响。
    大型企业应该思考在整个组织中执行雷同的策略可能会遇到的问题,特地是当技术堆栈十分异构的时候。这会导致不同反向代理以不同形式实现雷同的策略,从而导致奥妙但重要的差别。这种时候的解决办法是,确保在购买前进行彻底的概念验证(PoC)。
    最初须要特地关注API网关的速度(提早),这对长期应用和其安全性至关重要。如果抉择的API网关性能不佳,那么API团队最终会寻求调整策略,甚至在极其状况下齐全绕过API网关。因而,API的性能通常是API网关胜利的关键因素之一。
    小阑解读:
    API网关的访问控制通常以身份验证机制开始,以便确认调用的起源。目前,最受欢迎的网关验证协定是OAuth,它充当拜访基于Web的资源的代理而不向服务公开明码,基于密钥的身份验证在用于企业时,也有失落数据的案例,还不能百分之百保障密钥完全保密。
    API网关的劣势:

  • 在对立的地位治理和施行;
  • 将大部分问题内部化,因而简化了API源代码;
  • 提供API的管理中心和视图,更不便采纳统一的策略;
    API网关的毛病:
  • 容易呈现单点故障或瓶颈;
  • 因为所有API规定都在一个地位,因而存在复杂性危险;

  • 被锁定的危险,日后零碎迁徙并不简略。
    安全性是公司首要思考基础架构中投入的头等关注点。然而,它也是现有API开发者最容易漠视的畛域。因为很多公司正在本人构建API作为产品,以部署Web,挪动客户端,物联网和其它应用程序,在整个过程中的每一步都须正确爱护,API网关是最无效的解决方案之一。

    PCI DSS 4.0对API平安的影响

    PCI DSS规范是指支付卡行业数据安全规范(Payment Card Industry Data Security Standard),是由VISA、MasterCard、Discover、JCB和American Express等信用卡品牌独特制订的数据安全规范,旨在确保无关交易的解决和存储数据安全。任何解决信用卡领取的机构都必须恪守该规范。
    PCI DSS规范包含一些规定和要求,以确保对客户付款信息的爱护,避免数据透露和欺诈行为。

    最新版本4.0为软件的平安开发和部署提供了具体条款,文章探讨这些条款对API开发人员可能产生的影响。
    以下是与软件开发和部署相干的要害条款:
    6.2 – Bespoke and custom software are developed securely.
    这是采纳平安SDLC或采纳“左移”开发的领导。对于API开发,开发人员必须尽早理解平安需要,并在整个生命周期中应用平安开发方法。
    6.2.3 – Bespoke and custom software is reviewed prior to being released into production or to customers, to identify and correct potential coding vulnerabilities.
    该条款领导开发人员应用代码审核(包含OAS定义和API代码)来确保尽可能大程度上缩小编码破绽。这些审核能够在开发生命周期的各个阶段主动进行。
    6.2.4 – Software engineering techniques or other methods are defined and in use by software development personnel to prevent or mitigate common software attacks and related vulnerabilities in bespoke and custom software.
    在API上下文中,该控件批示应用高级测试方法来辨认针对API的各种软件攻打。倡议的最佳实际是应用特定的API测试来检测家喻户晓的破绽类型(如损坏的对象级别受权和损坏的身份验证),次要是应用自动化测试(专用的API平安扫描工具)或通过定制浸透测试。
    6.4 Public-facing web applications are protected against attacks.
    该标准规定应爱护面向公众的API免受攻打,通常通过API网关或专用API防火墙。
    小阑认为:
    API平安的重要性不言自明,它波及到数据和信息的爱护、合规性以及竞争劣势等多个方面,是每个企业在数字化转型过程中必须认真对待和增强的重要环节。
    随着数字化与智能化过程的减速推动,API成为不同零碎、利用和数据的粘合剂,承当着越来越多的业务性能。而这些业务性能往往包含金融交易数据、个人信息等波及个人隐私和商业秘密的数据。因而,确保API的安全性不仅是企业信息安全治理的重要一环,更是整个数字时代信息安全和隐衷爱护的基石。
    感激 http://APIsecurity.io 提供相干内容