博客

确保API的安全。不可能完成的任务?

皮特-丹休
发表于2022年6月6日

毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。

分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。

API的崛起和可能的毁灭

难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。

API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。

不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。

可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。

攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。

如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。

捍卫API

尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。

也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。

第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。

你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。

针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。

查看资源
查看资源

API安全是艰难的,但通过充分的培训、规划和对最佳实践的关注,即使是最隐蔽的漏洞也可以得到缓解。

想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示
分享到
作者
皮特-丹休
发表于2022年6月6日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。

分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。

API的崛起和可能的毁灭

难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。

API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。

不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。

可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。

攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。

如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。

捍卫API

尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。

也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。

第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。

你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。

针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。

查看资源
查看资源

请填写下表下载报告

我们希望得到您的许可,向您发送有关我们产品和/或相关安全编码主题的信息。我们将始终以最谨慎的态度对待您的个人资料,绝不会将其出售给其他公司用于营销目的。

提交
要提交表格,请启用 "分析 "cookies。完成后,请随时再次禁用它们。

毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。

分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。

API的崛起和可能的毁灭

难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。

API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。

不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。

可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。

攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。

如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。

捍卫API

尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。

也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。

第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。

你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。

针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。

开始吧

点击下面的链接,下载本资料的 PDF 文件。

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

查看报告预定一个演示
查看资源
分享到
想了解更多信息?

分享到
作者
皮特-丹休
发表于2022年6月6日

首席执行官、主席和联合创始人

Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。

分享到

毋庸置疑,网络攻击正在上升。根据Verizon 2021年数据泄露调查报告,今天的威胁形势比以往任何时候都更加危险。各种规模的组织正经历着更多的攻击,而针对他们的威胁者的复杂程度也更高。而攻击者的成功率也在急剧上升。

分析最近的攻击,有助于揭示黑客在这次对网络防御的空前突击中所使用的一些最常见的漏洞和技术。一些最流行的攻击,例如那些进入开放网络应用安全项目(OWASP)2021年十大安全风险和漏洞的攻击,涉及到窃取或以其他方式破坏证书。而根据Akamai进行的安全研究,绝大多数(近75%)直接针对API持有的凭证。

API的崛起和可能的毁灭

难怪应用编程接口(大多被称为API)在几乎每个组织的网络中都在上升。它们是大多数基于云的服务的重要组成部分,这些服务正在迅速取代大多数公司、组织和政府机构的内部资产的功能。如今,你几乎无法在没有云的情况下运行任何种类的业务或任务,特别是那些面向公众的业务。这意味着API肯定会成为支撑每个网络中相当多的服务的粘合剂。

API的神奇之处在于,它们在网络资源分配方面大多是小而不显眼的。而且它们是完全灵活的,因此它们可以被赋予执行几乎任何工作的任务。就其核心而言,API是为控制或管理一个特定程序而定制的单个软件片段。它们可以被用来执行非常具体的功能,如从主机操作系统、应用程序或服务中访问数据。

不幸的是,正是这种同样的灵活性,以及它们往往很小并被安全团队忽视的事实,使得API成为有吸引力的目标。大多数API是由开发人员设计的,具有完全的灵活性,例如,即使它们所管理的核心程序被修改或改变,它们也能继续发挥作用。而且很少有标准。几乎就像雪花一样,许多API都是独一无二的,因为它们是为特定网络上的单个程序提供特定功能而创建的。如果它们是由那些没有很好的安全意识的开发者编写的,或者他们没有特别专注于安全,那么它们可以而且很可能会有任何数量的漏洞被攻击者发现和利用。

可悲的是,这个问题很快就失控了。据Gartner称,到2022年,涉及API的漏洞将成为所有网络安全类别中最频繁的攻击载体。

攻击者想要破坏API的关键原因不是为了接管API执行的任何具体功能,而是为了窃取与之相关的凭证。API最大的问题之一,除了有很多漏洞之外,就是它们的核心功能往往被过度授权。为简单起见,大多数API在网络上有接近管理员级别的访问权限。如果攻击者获得了对一个API的控制权,他们往往可以利用其权限对网络进行更深入、更大量的入侵。而且,由于API有权限执行攻击者重定向的任何任务,他们的行动往往可以绕过传统的网络安全监控,因为API没有违反任何规则,这要归功于其访问所有区域的VIP后台许可。

如果企业不小心,他们的网络和云中的API的兴起,如果被攻击者盯上,也会带来大麻烦。

捍卫API

尽管API的情况变得很危险,但它远非无望。通过像DevSecOps这样的运动,有很大的努力帮助开发人员提高安全意识,并将安全和最佳实践引入软件创建的所有方面,从开发到测试和部署。将API安全作为培训的一部分,对于任何想在2022年及以后抵御API剥削趋势的组织来说都是至关重要的。

也就是说,在API安全方面,现在有一些真正好的最佳实践可以实施。

第一件事是为所有的API包括严格的身份控制。在分配权限时,你几乎应该把它们看成是人类用户。仅仅因为一个API被设计成只做一个特定的功能,你就必须考虑如果一个攻击者能够破坏它,会发生什么。考虑使用基于角色的访问控制。理想情况下,你最终应该对你的API和用户采用零信任原则,但这往往是一条漫长的道路。良好的身份管理是一个好的开始。只要确保将API作为该计划的一部分。

你还应该尽可能地严格控制你的API所进行的各种调用。如果你把这些调用限制在以上下文为中心的请求上,那么攻击者就很难为邪恶的目的而修改它们。你甚至可以将你的API分层,由最初的API对另一个API进行高度的上下文调用,这个API知道要寻找什么,以及要忽略什么。这可以成为一种有效的方式来限制威胁行为者可用的功能,即使他们能够利用和破坏该链中的API。

针对API的威胁当然看起来是压倒性的。但是,通过实施最佳实践,并协助和奖励那些成为安全卫士的开发人员,情况似乎不那么无望。通过良好的培训和实践,你可以建立一个强大的安全计划,即使攻击者以某种方式破坏了你的一个微小但重要的API工作母机,他们也没有什么回旋余地。

目录

下载PDF
查看资源
想了解更多信息?

首席执行官、主席和联合创始人

Secure Code Warrior 我们在这里为您的组织提供服务,帮助您在整个软件开发生命周期中确保代码安全,并创造一种将网络安全放在首位的文化。无论您是应用安全经理、开发人员、CISO或任何涉及安全的人,我们都可以帮助您的组织减少与不安全代码有关的风险。

预定一个演示下载
分享到
资源中心
资源中心