API加速了企業(yè)的數(shù)字化轉(zhuǎn)型,其控制軟件的交互方式,,并在 Web,、物聯(lián)網(wǎng)(IoT)、移動(dòng)和 SaaS 應(yīng)用程序中聯(lián)通軟件,,另外,,API鏈接內(nèi)部系統(tǒng),與其他業(yè)務(wù)聯(lián)系密切,,并能夠促進(jìn)與合作廠商的共同創(chuàng)新,。API作為連接數(shù)據(jù)與應(yīng)用的重要通道,,成為了數(shù)據(jù)安全建設(shè)中不容忽視的環(huán)節(jié)。
影子API 風(fēng)險(xiǎn)日益增加
企業(yè)會(huì)使用數(shù)百甚至數(shù)千個(gè)API,,但其中許多API是IT團(tuán)隊(duì)所不知道也不了解的,。此外,開發(fā)人員也可能忘記停用舊版或撤下已被替換的“僵尸”接口,。這些影子API 會(huì)顯著增加企業(yè)的風(fēng)險(xiǎn),,2019年,OWASP發(fā)布了API 安全中前十名的漏洞,,包括對象級(jí)授權(quán)中斷,、用戶身份驗(yàn)證中斷和數(shù)據(jù)暴露過多等,隨著影子 API的擴(kuò)展,,這些威脅向量將呈指數(shù)級(jí)增長,。
Gartner預(yù)測到2022年, API攻擊將成為最常見的攻擊媒介,,這會(huì)導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。
需要影子API安全解決方案
企業(yè)通過使用軟件即服務(wù)(SaaS)平臺(tái)創(chuàng)建在線目錄以高效地發(fā)現(xiàn)和管理 API,。在線工具支持實(shí)時(shí)發(fā)現(xiàn)并提供元數(shù)據(jù),,并顯示API 在上下文中的工作方式。具有聯(lián)機(jī)目錄的團(tuán)隊(duì)可以看到所有 API 的業(yè)務(wù)邏輯,,以及流入流出API 的敏感數(shù)據(jù),。這些重要信息使 IT 和安全團(tuán)隊(duì)能夠?qū)嵤┯行У陌踩刂坪蜋z測簽名。如果他們檢測到 API 行為發(fā)生變化,,這表明存在誤用或攻擊,,IT 和安全專家可以迅速采取行動(dòng)進(jìn)行補(bǔ)救或停用。
創(chuàng)建API 安全文化
由于企業(yè)的數(shù)字化業(yè)務(wù)在不停增長,,開發(fā)人員不斷創(chuàng)建和應(yīng)用新的代碼,。相關(guān)報(bào)告顯示,盡管大多數(shù)開發(fā)人員認(rèn)為他們的應(yīng)用程序是安全可靠的,,但仍然存在許多易受攻擊的代碼,。,其主要原因包括:
01 開發(fā)人員面臨著“截止日期”的交付壓力,。
02 漏洞風(fēng)險(xiǎn)低,。
03 在軟件開發(fā)生命周期中發(fā)現(xiàn)漏洞太晚。
專家表示,,使用在線目錄有助于創(chuàng)建DevSecOps文化,。在該文化中,安全性是預(yù)先考慮的,,開發(fā)人員可以使用聯(lián)機(jī)目錄跨外部 API,、內(nèi)部 API 和微服務(wù)自動(dòng)對單個(gè)應(yīng)用程序的請求進(jìn)行分布式跟蹤,。
IT 和安全團(tuán)隊(duì)可以通過協(xié)作來加強(qiáng)應(yīng)用程序和 API 的安全性,并借助自動(dòng)化流程以及整體和細(xì)粒度視圖,,可以進(jìn)行更深入的分析,、做出合理的安全決策以及主動(dòng)修復(fù)漏洞。
增強(qiáng)智能化以提供更好的 API 保護(hù)
數(shù)字化的快速發(fā)展意味著隨著時(shí)間的推移,,企業(yè)將使用更多的API,。應(yīng)用程序和服務(wù)將變得更加互聯(lián)。專家表示采用零信任安全模型和發(fā)展DevSecOps是理想的選擇,。
另外,,使用在線目錄公開 API 生態(tài)系統(tǒng)可提供有價(jià)值的信息,相關(guān)團(tuán)隊(duì)能夠發(fā)現(xiàn)和管理所有 API,,從而控制影子API,,團(tuán)隊(duì)也可以分析每個(gè) API 的業(yè)務(wù)風(fēng)險(xiǎn)和潛在數(shù)據(jù)泄露,并確定修正工作的優(yōu)先級(jí),。這樣,,IT和安全團(tuán)隊(duì)就可以追溯最終用戶的使用情況,確定API是否受到對手的攻擊以及其所在的位置,。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
