《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 永安在線邵付東:API安全核心是實(shí)現(xiàn)API資產(chǎn)可視,、攻擊可知

永安在線邵付東:API安全核心是實(shí)現(xiàn)API資產(chǎn)可視,、攻擊可知

2022-11-07
來(lái)源:安全419
關(guān)鍵詞: 永安在線 API

  業(yè)務(wù)情報(bào)和 API 數(shù)據(jù)安全方案廠商永安在線于近日發(fā)布《API安全建設(shè)白皮書》(以下簡(jiǎn)稱:白皮書),,對(duì) API 在現(xiàn)代 IT 業(yè)務(wù)系統(tǒng)中所起到的關(guān)鍵作用,,以及普遍應(yīng)用下的安全挑戰(zhàn)作出了詳細(xì)介紹,為應(yīng)對(duì) API 安全挑戰(zhàn),,白皮書提出了“API 全生命周期安全防護(hù)模型”,,以供企業(yè)建設(shè)安全的 API 提供參考。

  該白皮書指出,,API 全生命周期安全防護(hù)包含 API 從設(shè)計(jì)到開發(fā),,再到測(cè)試,、上線運(yùn)行、迭代及下線共計(jì)六個(gè)階段,,利用全生命周期理念來(lái)考慮 API 的安全性,,通過(guò)安全左移方法和工具,綜合性的融合管理手段和技術(shù)手段進(jìn)行 API 安全治理,,可提高業(yè)務(wù) API 的整體安全性,。

  永安在線COO邵付東談及了此次《API安全建設(shè)白皮書》發(fā)布初衷,以及企業(yè) API 安全建設(shè)難點(diǎn),,正確的 API 建設(shè)路徑等諸多問(wèn)題,。

  企業(yè)普遍缺乏API安全實(shí)踐

  已成數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口

  邵付東表示,鑒于 API 安全本身的重要性,,以及近些年來(lái)因 API 保護(hù)不當(dāng)所引起的諸多安全事件,這需要企業(yè)能夠系統(tǒng)地去解決 API 安全問(wèn)題,。永安在線則通過(guò)自身多年對(duì) API 安全的理解和實(shí)踐經(jīng)驗(yàn),,梳理了通過(guò) API 全生命周期安全防護(hù)的 API 安全建設(shè)之路,希望企業(yè)能夠從中有所借鑒,,這也是發(fā)布《API安全建設(shè)白皮書》的初衷,。

  該白皮書指出,API 是數(shù)據(jù)交互最重要的傳輸方式之一,,也因此成為攻擊者竊取數(shù)據(jù)的重點(diǎn)攻擊對(duì)象,。白皮書引用相關(guān)數(shù)據(jù)表示,數(shù)據(jù)泄露事件中有三分之二是由不安全的 API 造成的,。據(jù)預(yù)測(cè),,到 2022 年,API 濫用將成為導(dǎo)致企業(yè) Web 應(yīng)用程序數(shù)據(jù)泄露最常見的攻擊媒介,,甚至在 2024 年 API 安全問(wèn)題引起的數(shù)據(jù)泄露風(fēng)險(xiǎn)將翻倍,。

  所以白皮書在梳理 API 面臨的主要安全問(wèn)題時(shí),也首次提及了來(lái)自監(jiān)管合規(guī)方面的挑戰(zhàn),。其認(rèn)為大多數(shù)企業(yè)在數(shù)據(jù)的流動(dòng)訪問(wèn)方面的安全建設(shè)意識(shí)正逐步萌芽和發(fā)展,,而 API 作為連接數(shù)據(jù)與應(yīng)用的主要通道,正成為數(shù)據(jù)傳輸中最薄弱的環(huán)節(jié)之一,。

  邵付東告訴安全419,,金融行業(yè)有明確的 API 安全建設(shè)標(biāo)準(zhǔn)(金融行業(yè)標(biāo)準(zhǔn) JR/T 0185-2020《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》),但整體來(lái)看,,各行業(yè)在 API 的安全防護(hù)上還是比較薄弱的,。隨著數(shù)字化發(fā)展,API 數(shù)量劇增,,現(xiàn)階段 API 架構(gòu)的安全建設(shè)相對(duì)滯后,,API 的增速與其安全發(fā)展的不平衡,,使其成為企業(yè)數(shù)據(jù)安全最大的風(fēng)險(xiǎn)敞口。

  業(yè)務(wù)優(yōu)先和API安全意識(shí)薄弱

  是API安全建設(shè)核心難點(diǎn)

  在談及企業(yè)在進(jìn)行 API 安全建設(shè)時(shí)存在的難點(diǎn)時(shí),,邵付東從多方面的經(jīng)驗(yàn)梳理總結(jié)了以下兩點(diǎn)見解:

  第一,,大部分企業(yè)客戶優(yōu)先考慮的是業(yè)務(wù)快速迭代發(fā)展,安全隨著業(yè)務(wù)的發(fā)展才會(huì)慢慢被重視,;第二,,企業(yè)對(duì) API 安全建設(shè)的重要性認(rèn)識(shí)仍顯不足,這也直接造成了企業(yè)普遍存在諸多的 API 安全隱患,。

  白皮書曾對(duì) API 的重要性做出如下總結(jié):在當(dāng)今應(yīng),?程序驅(qū)動(dòng)的世界中,創(chuàng)新的,?個(gè)基本元素就是 API,。從銀?,、零售,、運(yùn)輸?shù)轿锫?lián)網(wǎng)、自動(dòng)駕駛汽車和智慧城市,,API 是現(xiàn)代移動(dòng)端,、SaaS 和 Web 應(yīng)用程序的關(guān)鍵部分,企業(yè)在面向客戶,、面向合作伙伴和機(jī)構(gòu)內(nèi)部的應(yīng)用程序中隨處可見 API 的使用,。從本質(zhì)上講,API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù),,如個(gè)人身份信息,,正因如此,API 越來(lái)越多地成為攻擊者的完美目標(biāo),。由此可見,,沒(méi)有安全的 API,企業(yè)的快速創(chuàng)新也將無(wú)從談起,。

  從本質(zhì)上講,,API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù),如個(gè)人身份信息,,正因如此,,API 越來(lái)越多地成為攻擊者的完美目標(biāo)。由此可見,,沒(méi)有安全的 API,,企業(yè)的快速創(chuàng)新也將無(wú)從談起。

  API全生命周期安全核心

  是實(shí)現(xiàn) API 資產(chǎn)可視、攻擊可知

  在談及企業(yè)有效的 API 安全建設(shè)路徑時(shí),,邵付東先是闡述了企業(yè)安全建設(shè)的本質(zhì)問(wèn)題,,他指出,企業(yè)遵循業(yè)務(wù)優(yōu)先是企業(yè)生存的前提,,“如果業(yè)務(wù)都沒(méi)有了,,那還談什么安全?!彼J(rèn)為企業(yè)的整體安全建設(shè)應(yīng)遵循:第一,、業(yè)務(wù)優(yōu)先,第二,、解決可見性,,第三、做到整體可控,。

  最終落實(shí)到 API 安全建設(shè)路徑方面,,邵付東認(rèn)為首先在業(yè)務(wù)優(yōu)先的基礎(chǔ)上,企業(yè)需要對(duì)上線的 API 進(jìn)行整體地梳理,,要?jiǎng)?wù)是實(shí)現(xiàn)對(duì)所有 API 資產(chǎn)的可視,,再進(jìn)行持續(xù)的 API 漏洞評(píng)估和及時(shí)感知 API 攻擊風(fēng)險(xiǎn),實(shí)現(xiàn) API 風(fēng)險(xiǎn)的可控,。從業(yè)務(wù)安全角度來(lái)講,這也是企業(yè)能夠健康發(fā)展的前提,。

  邵付東解釋稱,,做好以上提到的 API 上線后的安全建設(shè),企業(yè)可以及時(shí)了解 API 資產(chǎn)變化情況,,解決全量 API 安全可見性問(wèn)題,。之后,再通過(guò)安全左移,,將視角轉(zhuǎn)到 API 上線前的設(shè)計(jì),、開發(fā)、測(cè)試等階段,,過(guò)程中結(jié)合上線后的安全實(shí)踐總結(jié),,可更加有的放矢,避免盲目投入,。

  “通過(guò)對(duì) API 上線過(guò)程問(wèn)題和隱患的發(fā)現(xiàn)梳理,,將其視為企業(yè) API 全生命周期安全建設(shè)的核心和起步點(diǎn),同時(shí)這部分工作還可以作為企業(yè) API 安全左移過(guò)程中重要的參考依據(jù),,從目標(biāo)感中獲取解決具體問(wèn)題的方法來(lái)構(gòu)建整體 API 安全,,我認(rèn)為,這將會(huì)令 API 全生命周期安全建設(shè)更加有的放矢?!?/p>

  API 全生命周期安全防護(hù)

  對(duì)于企業(yè)用戶的意義

  “全生命周期”最近幾年經(jīng)常出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域,,比如在數(shù)據(jù)安全領(lǐng)域,其全生命周期泛指數(shù)據(jù)的采集,、傳輸,、存儲(chǔ)、共享,、使用,、銷毀等階段,每一個(gè)階段均通過(guò)一定的安全措施做到安全可控,。

  邵付東稱,,永安在線之所以在 API 安全領(lǐng)域提出全生命周期安全防護(hù)概念,更多的是想表達(dá)對(duì) API 安全管理的一種愿景,,即企業(yè)用戶也可以將 API 以資產(chǎn)的視角進(jìn)行管理,,其意義在于更便于企業(yè)用戶通過(guò)整體的方法進(jìn)行思考,從而關(guān)注其整體的生產(chǎn)效率和安全問(wèn)題,。

  據(jù)邵付東進(jìn)一步介紹,,其提出的 API 全生命周期安全防護(hù)模型一方面源于永安在線長(zhǎng)期在業(yè)務(wù)安全上的實(shí)踐,同時(shí)也源于客戶一側(cè)對(duì) API 安全的實(shí)際需求總結(jié),,即總體來(lái)自用戶側(cè) API 安全真實(shí)需求且基于業(yè)務(wù)的方法梳理,。

  正如白皮書指出的那樣,針對(duì) API 存在威脅防護(hù),,使用 WAF 類產(chǎn)品只能覆蓋其中的一小部分威脅,,對(duì)業(yè)務(wù)而言,從單點(diǎn)考慮 API 功能安全設(shè)計(jì)到通過(guò)對(duì) API 生命周期來(lái)考慮 API 的安全,,圍繞設(shè)計(jì),、開發(fā)、測(cè)試,、 上線運(yùn)行,、迭代到下線的每一個(gè)環(huán)節(jié)加強(qiáng)安全建設(shè)更加必要。

  在采訪中,,邵付東列舉了一些企業(yè)客戶進(jìn)行 API 安全建設(shè)的具體實(shí)踐及過(guò)程中所面臨的困境,,而白皮書在其第三章節(jié)的“API 全生命周期安全防護(hù)”具體內(nèi)容則呼應(yīng)了這部分內(nèi)容,白皮書梳理的 API 全生命周期安全防護(hù)不同階段的具體能力建設(shè),,均具體到了方法論和具體的安全實(shí)踐工具,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]