本文來自微信公眾號(hào)“安全牛”。
API技術(shù)逐漸成了現(xiàn)代數(shù)字業(yè)務(wù)環(huán)境的基礎(chǔ)組成,也是企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展戰(zhàn)略實(shí)現(xiàn)的核心要素,幾乎所有的企業(yè)都依賴API進(jìn)行服務(wù)連接、數(shù)據(jù)傳輸和系統(tǒng)控制。然而,API的爆炸式應(yīng)用也為攻擊者提供了更多的方法,而現(xiàn)有的安全工具卻難以檢測(cè)和減輕特定于API的威脅,使組織容易受到妥協(xié)、濫用和欺詐的影響。
據(jù)網(wǎng)絡(luò)安全廠商Traceable AI最新發(fā)布的報(bào)告數(shù)據(jù)顯示,在過去兩年中,由API引發(fā)的網(wǎng)絡(luò)攻擊面正在持續(xù)增加,60%的受訪企業(yè)發(fā)生過與API相關(guān)的安全事件,其中74%的組織存在三次或以上的安全事件。同時(shí),能夠有效識(shí)別API活動(dòng)及用戶行為的企業(yè)不足四成,有57%的受訪企業(yè)表示傳統(tǒng)的安全解決方案難以識(shí)別API活動(dòng)和API欺詐事件。更糟糕的是,61%的受訪組織預(yù)計(jì)未來兩年API相關(guān)風(fēng)險(xiǎn)將繼續(xù)攀升,但只有33%的受訪組織對(duì)有效管理API威脅有信心。
由于API在設(shè)計(jì)架構(gòu)上的特殊性,它們無法通過傳統(tǒng)的應(yīng)用安全工具進(jìn)行有效的保護(hù),而是需要企業(yè)安全團(tuán)隊(duì)的更全面關(guān)注,并從更廣泛的角度解決API應(yīng)用安全缺口。以下是今年以來6個(gè)值得關(guān)注的API計(jì)劃、項(xiàng)目和事件,旨在幫助組織改進(jìn)和優(yōu)化API應(yīng)用的安全性。
1、Open Gateway API計(jì)劃推出
今年2月,全球移動(dòng)行業(yè)協(xié)會(huì)GSMA推出了GSMA開放網(wǎng)關(guān)(GSMA Open Gateway)計(jì)劃,這是一項(xiàng)面向全行業(yè)的API安全性保護(hù)倡議,旨在幫助應(yīng)用系統(tǒng)的開發(fā)者和云服務(wù)商通過開放網(wǎng)絡(luò)API框架,加強(qiáng)與移動(dòng)運(yùn)營(yíng)商的合作,從而更安全地提供對(duì)全球運(yùn)營(yíng)商網(wǎng)絡(luò)的訪問服務(wù)。研究人員表示,該計(jì)劃或?qū)⒊蔀樵苹A(chǔ)設(shè)施服務(wù)與運(yùn)營(yíng)商物理網(wǎng)絡(luò)之間的通用安全“粘合劑”。
據(jù)GSMA相關(guān)負(fù)責(zé)人介紹,Open Gatewa API計(jì)劃已經(jīng)得到全球超過20家的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的支持,包括America Movil、AT&T、Axiata、Bharti Airtel、德國(guó)電信、KT、法國(guó)電信、威瑞森和沃達(dá)豐等,以及我國(guó)的電信運(yùn)營(yíng)商中國(guó)移動(dòng)。
2、零信任API安全參考架構(gòu)發(fā)布
今年6月,創(chuàng)新安全公司Traceable AI發(fā)布了零信任API安全參考架構(gòu),這是一個(gè)將API安全性集成到零信任安全架構(gòu)的實(shí)踐指南。據(jù)Traceable AI表示,該架構(gòu)與NIST零信任架構(gòu)保持一致,確保了兼容性、互操作性和法規(guī)遵從性,幫助企業(yè)組織以可靠的方式實(shí)現(xiàn)零信任架構(gòu)下的API應(yīng)用安全性。該架構(gòu)主要概述了如下內(nèi)容:
●確定了API級(jí)別的零信任關(guān)鍵原則和定義;
●明確零信任在API級(jí)別方面需要考慮的因素;
●組織在零信任部署中實(shí)現(xiàn)API安全性的策略。
3、《API安全最佳實(shí)踐白皮書》編寫完成
今年6月,F(xiàn)5公司完成編寫并發(fā)布了《API安全最佳實(shí)踐:API防護(hù)的關(guān)鍵考慮因素》(API Security Best Practices:Key Considerations for API Protection)白皮書,概述了現(xiàn)代企業(yè)組織面臨的各種API安全挑戰(zhàn)和風(fēng)險(xiǎn),以及安全和風(fēng)險(xiǎn)團(tuán)隊(duì)可用于加強(qiáng)組織API安全的策略。
白皮書研究發(fā)現(xiàn),API促進(jìn)了去中心化和分布式架構(gòu),為第三方能力集成提供了更多的機(jī)會(huì),也從根本上改變了安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的運(yùn)作方式。為了應(yīng)對(duì)API安全,新一代防護(hù)方案需要包括持續(xù)監(jiān)控和保護(hù)API端點(diǎn),以及對(duì)不斷變化的應(yīng)用程序生命周期做出反應(yīng)。
電子書傳送門:
https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection
4、《Web應(yīng)用安全性指南》聯(lián)合發(fā)布
今年7月,澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)以及美國(guó)國(guó)家安全局(NSA)聯(lián)合發(fā)布《Web應(yīng)用安全性指南》,警告Web應(yīng)用程序的供應(yīng)商、開發(fā)人員和用戶組織,應(yīng)該高度關(guān)注和避免不安全的直接對(duì)象引用(IDOR)漏洞。
IDOR漏洞是一種訪問控制漏洞,允許惡意行為者通過向網(wǎng)站或Web API發(fā)出指定其他有效用戶的用戶標(biāo)識(shí)符的請(qǐng)求,來修改或刪除數(shù)據(jù)或訪問敏感數(shù)據(jù)。IDOR攻擊是最常見且危害性巨大的API攻擊形式之一,已導(dǎo)致數(shù)百萬用戶和消費(fèi)者的個(gè)人信息泄露。為此,報(bào)告編寫人員強(qiáng)烈鼓勵(lì)供應(yīng)商、設(shè)計(jì)人員、開發(fā)人員和最終用戶組織盡快實(shí)施以下安全建議:
●實(shí)施設(shè)計(jì)安全和默認(rèn)原則,并確保軟件對(duì)每個(gè)訪問敏感數(shù)據(jù)的請(qǐng)求執(zhí)行身份驗(yàn)證和授權(quán)檢查;
●使用自動(dòng)化工具進(jìn)行代碼審查來識(shí)別和修復(fù)IDOR漏洞;
●使用間接引用映射,確保ID、名稱和密鑰不會(huì)在URL中公開,并將它們替換為加密強(qiáng)度高的隨機(jī)值;
●引用第三方庫或框架時(shí)要進(jìn)行安全性盡職調(diào)查,并使所有第三方框架和依賴項(xiàng)保持最新;
●選擇Web應(yīng)用程序時(shí)要進(jìn)行安全性盡職調(diào)查,遵循供應(yīng)鏈風(fēng)險(xiǎn)管理的最佳實(shí)踐;
●盡快為存在安全隱患的Web應(yīng)用打上補(bǔ)??;
●定期進(jìn)行主動(dòng)漏洞掃描和滲透測(cè)試,以幫助確保面向互聯(lián)網(wǎng)的Web應(yīng)用程序和網(wǎng)絡(luò)邊界的安全。
5、OWASP更新API安全風(fēng)險(xiǎn)列表
今年7月,OWASP發(fā)布了本年度API安全性Top10榜單,詳細(xì)介紹了企業(yè)面臨的十大API安全風(fēng)險(xiǎn)。這是自2019年發(fā)布以來首次更新特定于API的風(fēng)險(xiǎn)指南,旨在教育那些參與API開發(fā)和維護(hù)的人員(例如開發(fā)人員、設(shè)計(jì)人員、架構(gòu)師、管理人員或組織)規(guī)避常見的API安全風(fēng)險(xiǎn)。最新的API安全風(fēng)險(xiǎn)列表如下:
1.對(duì)象級(jí)授權(quán)失?。˙OLA);
2.破損的身份驗(yàn)證;
3.對(duì)象屬性級(jí)別授權(quán)失??;
4.無限制地資源消耗;
5.功能級(jí)別授權(quán)失敗;
6.無限制訪問敏感業(yè)務(wù)流;
7.服務(wù)器端請(qǐng)求偽造(SSRF);
8.安全配置錯(cuò)誤;
9.庫存管理不當(dāng);
10.不安全的API使用。
6、加強(qiáng)API安全生態(tài)系統(tǒng)合作的STEP計(jì)劃推出
今年8月,安全公司Salt Security啟動(dòng)了Salt技術(shù)生態(tài)系統(tǒng)合作伙伴(Salt Technical Ecosystem Partner,STEP)計(jì)劃,旨在整合整個(gè)API生態(tài)系統(tǒng)的解決方案,并使組織能夠強(qiáng)化自身的API安全態(tài)勢(shì)。該計(jì)劃旨在幫助企業(yè)開展基于風(fēng)險(xiǎn)的API應(yīng)用安全測(cè)試方法,將掃描工作集中在高優(yōu)先級(jí)的API應(yīng)用上。
StackHawk首席執(zhí)行官Joni Klippert表示:“為了提供強(qiáng)大的AppSec程序,開發(fā)人員需要使用更先進(jìn)的技術(shù),在將代碼部署到生產(chǎn)環(huán)境之前,簡(jiǎn)化查找和修復(fù)漏洞的過程。鑒于API開發(fā)的爆炸式增長(zhǎng),團(tuán)隊(duì)需要優(yōu)先考慮并自動(dòng)化API的安全測(cè)試,并以與開發(fā)人員工作流程無縫集成的方式進(jìn)行測(cè)試。”