《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 聚焦影子API 提高網(wǎng)絡(luò)安全性

聚焦影子API 提高網(wǎng)絡(luò)安全性

2022-11-05
來源:安全419
關(guān)鍵詞: API 網(wǎng)絡(luò)安全

  API加速了企業(yè)的數(shù)字化轉(zhuǎn)型,其控制軟件的交互方式,并在 Web、物聯(lián)網(wǎng)(IoT)、移動和 SaaS 應(yīng)用程序中聯(lián)通軟件,另外,API鏈接內(nèi)部系統(tǒng),與其他業(yè)務(wù)聯(lián)系密切,并能夠促進(jìn)與合作廠商的共同創(chuàng)新。API作為連接數(shù)據(jù)與應(yīng)用的重要通道,成為了數(shù)據(jù)安全建設(shè)中不容忽視的環(huán)節(jié)。

  影子API 風(fēng)險日益增加

  企業(yè)會使用數(shù)百甚至數(shù)千個API,但其中許多API是IT團(tuán)隊所不知道也不了解的。此外,開發(fā)人員也可能忘記停用舊版或撤下已被替換的“僵尸”接口。這些影子API 會顯著增加企業(yè)的風(fēng)險,2019年,OWASP發(fā)布了API 安全中前十名的漏洞,包括對象級授權(quán)中斷、用戶身份驗證中斷和數(shù)據(jù)暴露過多等,隨著影子 API的擴(kuò)展,這些威脅向量將呈指數(shù)級增長。

  Gartner預(yù)測到2022年, API攻擊將成為最常見的攻擊媒介,這會導(dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。

  需要影子API安全解決方案

  企業(yè)通過使用軟件即服務(wù)(SaaS)平臺創(chuàng)建在線目錄以高效地發(fā)現(xiàn)和管理 API。在線工具支持實時發(fā)現(xiàn)并提供元數(shù)據(jù),并顯示API 在上下文中的工作方式。具有聯(lián)機(jī)目錄的團(tuán)隊可以看到所有 API 的業(yè)務(wù)邏輯,以及流入流出API 的敏感數(shù)據(jù)。這些重要信息使 IT 和安全團(tuán)隊能夠?qū)嵤┯行У陌踩刂坪蜋z測簽名。如果他們檢測到 API 行為發(fā)生變化,這表明存在誤用或攻擊,IT 和安全專家可以迅速采取行動進(jìn)行補(bǔ)救或停用。

  創(chuàng)建API 安全文化

  由于企業(yè)的數(shù)字化業(yè)務(wù)在不停增長,開發(fā)人員不斷創(chuàng)建和應(yīng)用新的代碼。相關(guān)報告顯示,盡管大多數(shù)開發(fā)人員認(rèn)為他們的應(yīng)用程序是安全可靠的,但仍然存在許多易受攻擊的代碼。,其主要原因包括:

  01 開發(fā)人員面臨著“截止日期”的交付壓力。

  02 漏洞風(fēng)險低。

  03 在軟件開發(fā)生命周期中發(fā)現(xiàn)漏洞太晚。

  專家表示,使用在線目錄有助于創(chuàng)建DevSecOps文化。在該文化中,安全性是預(yù)先考慮的,開發(fā)人員可以使用聯(lián)機(jī)目錄跨外部 API、內(nèi)部 API 和微服務(wù)自動對單個應(yīng)用程序的請求進(jìn)行分布式跟蹤。

  IT 和安全團(tuán)隊可以通過協(xié)作來加強(qiáng)應(yīng)用程序和 API 的安全性,并借助自動化流程以及整體和細(xì)粒度視圖,可以進(jìn)行更深入的分析、做出合理的安全決策以及主動修復(fù)漏洞。

  增強(qiáng)智能化以提供更好的 API 保護(hù)

  數(shù)字化的快速發(fā)展意味著隨著時間的推移,企業(yè)將使用更多的API。應(yīng)用程序和服務(wù)將變得更加互聯(lián)。專家表示采用零信任安全模型和發(fā)展DevSecOps是理想的選擇。

  另外,使用在線目錄公開 API 生態(tài)系統(tǒng)可提供有價值的信息,相關(guān)團(tuán)隊能夠發(fā)現(xiàn)和管理所有 API,從而控制影子API,團(tuán)隊也可以分析每個 API 的業(yè)務(wù)風(fēng)險和潛在數(shù)據(jù)泄露,并確定修正工作的優(yōu)先級。這樣,IT和安全團(tuán)隊就可以追溯最終用戶的使用情況,確定API是否受到對手的攻擊以及其所在的位置。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。