欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
API NEWS | 凭证泄漏导致API漏洞上升
2023-06-26阅读:335
欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
一篇来自Security Week的文章,讨论凭证泄漏导致的API漏洞不断增长。最近的一项调查发现,超过一半的美国专业人士曾遭受过API漏洞,但77%人认为他们的组织有效地管理了API令牌。这听起来有点矛盾,因为很多专业人士对他们的凭证管理很有信心,但还是会发生凭证相关的API漏洞情况。
研究结果表明,这种明显的矛盾背后有三个主要原因:
这项调查还衡量了凭证管理的成本,并发现大多数受访者每周花费超过15小时来管理凭证。这一数字可能并不完全准确,但可以看出凭证管理成本的不断上升。问题将只会加剧,因为API扩散不断增加,构建环境变得更加分散,需要更多的凭证分发和管理。面对这些挑战,组织只能选择忽略问题或投入更多的金钱来解决凭证管理所带来的问题。
Corsha公司提出可以缓解这种情况的解决方案,就是为API提供多因素认证(MFA)。
这种解决方案有三个优点:
小阑认为:
随着API数量的不断增加以及对API安全性的增强需求,MFA将成为一个不可或缺的安全措施。同时,还需要考虑到人工智能和自动化技术等方面的发展,以便找到更好的方法来管理API凭证,并确保API的安全。
另外,MFA疲劳攻击是一种严重的安全威胁,可以通过使用自动化工具对受保护的帐户进行多次MFA尝试来实施。攻击者可能会窃取敏感信息或执行其他不良行为,从而对组织的安全和业务流程造成影响。为了防范MFA疲劳攻击,组织可以采用多种策略,例如使用MFA应用程序、设置帐户锁定策略、使用机器学习技术、增加MFA代码的复杂度以及加强身份验证。通过采取这些措施,组织可以更好地保护其用户和敏感数据,并提高安全性。
这是一篇来自The New Stack的文章,深入讨论了API网关安全的重要性。作者认为,由于API网关是基础设施中如此关键的一部分,负责部署网关的人必须充分考虑网关本身的安全性。由于它们与组织基础设施的紧密耦合,API网关很少被更改,这使得选择网关时安全性成为首要考虑因素。
文章提出有四个因素对API网关整体安全性产生影响:
小阑解读:
API网关的访问控制通常以身份验证机制开始,以便确认调用的来源。目前,最受欢迎的网关验证协议是OAuth,它充当访问基于Web的资源的代理而不向服务公开密码,基于密钥的身份验证在用于企业时,也有丢失数据的案例,还不能百分之百保证密钥完全保密。
API网关的优势:
API网关的缺点:
安全性是公司首要考虑基础架构中投入的头号关注点。但是,它也是现有API开发者最容易忽视的领域。因为很多公司正在自己构建API作为产品,以部署Web,移动客户端,物联网和其它应用程序,在整个过程中的每一步都须正确保护,API网关是最有效的解决方案之一。
PCI DSS标准是指支付卡行业数据安全标准(Payment Card Industry Data Security Standard),是由VISA、MasterCard、Discover、JCB和American Express等信用卡品牌共同制定的数据安全标准,旨在确保有关交易的处理和存储数据安全。任何处理信用卡支付的机构都必须遵守该标准。PCI DSS标准包括一些规则和要求,以确保对客户付款信息的保护,防止数据泄漏和欺诈行为。
最新版本4.0为软件的安全开发和部署提供了具体条款,文章探讨这些条款对API开发人员可能产生的影响。以下是与软件开发和部署相关的关键条款:
这是采用安全SDLC或采用“左移”开发的指导。对于API开发,开发人员必须尽早了解安全需求,并在整个生命周期中使用安全开发方法。
该条款指导开发人员使用代码审核(包括OAS定义和API代码)来确保尽可能大程度上减少编码漏洞。这些审核可以在开发生命周期的各个阶段自动进行。
在API上下文中,该控件指示使用高级测试方法来识别针对API的各种软件攻击。建议的最佳实践是使用特定的API测试来检测众所周知的漏洞类型(如损坏的对象级别授权和损坏的身份验证),主要是使用自动化测试(专用的API安全扫描工具)或通过定制渗透测试。
该标准规定应保护面向公众的API免受攻击,通常通过API网关或专用API防火墙。
小阑认为:
API安全的重要性不言自明,它涉及到数据和信息的保护、合规性以及竞争优势等多个方面,是每个企业在数字化转型过程中必须认真对待和加强的重要环节。随着数字化与智能化进程的加速推进,API成为不同系统、应用和数据的粘合剂,承担着越来越多的业务功能。而这些业务功能往往包括金融交易数据、个人信息等涉及个人隐私和商业机密的数据。因此,确保API的安全性不仅是企业信息安全管理的重要一环,更是整个数字时代信息安全和隐私保护的基石。
感谢 http://APIsecurity.io 提供相关内容
地址:北京市海淀区海淀大街38号银科大厦6层
Copyright © 2022 北京星阑科技有限公司. 京ICP备19053406号
提交成功