确保API的安全。不可能完成的任务?
毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。
分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。
API的崛起和可能的毁灭
难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。
API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。
不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。
可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。
攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。
如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。
捍卫API
尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。
也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。
第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。
你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。
针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。
皮特-丹休
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
确保API的安全。不可能完成的任务?
毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。
分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。
API的崛起和可能的毁灭
难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。
API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。
不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。
可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。
攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。
如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。
捍卫API
尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。
也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。
第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。
你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。
针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。
