根據Gartner的預測,到2023年,超過50%的B2B交易將擺脫傳統方式,轉而通過實時API進行。
值得警惕的是,雖然API的市場規模增長迅速,但是安全威脅也在增長。目前,雖然API網關為API安全提供了各種核心功能,在API管理和API交付中發揮了重要作用,但是解決API的新興風險需要傳統API網關范圍之外的各種新的復雜技術。
什么是API?
API是應用程序編程接口首字母縮寫,是計算機程序相互交互的一種方式,充當了類似于繁忙城市中的交通控制系統的中間人,確保不同區域之間的交通無縫銜接。
什么是API網關?
在典型的微服務架構中,API網關是一種指令和協議管理工具,用于處理來自客戶端的請求并決定將它們路由到哪些微服務以獲取響應。
我們可以將其視為一種交通警察或總機,確保將請求傳遞到正確的位置,以便在獲得響應的過程中得到正確處理。
對于微服務,必須存在對高效API網關的需求。主要的云供應商意識到API網關還可以為公司提供一種便捷的方式來啟動和運行他們的云服務。
API安全需要什么?
眾所周知,雖然API網關能夠為開發人員調用API提供了更明顯的安全層,但是仍然有改進的空間。如果網關無法適應其資源,則漏洞管理將成為一個令人難以置信的挑戰。
根據Gartner的說法,到2022年,API濫用將從不常見的攻擊向量轉變為最常見的攻擊向量,從而導致企業Web應用程序的數據泄露。
人們想要減輕面臨的API安全威脅,需要正確的安全實施戰略和程序。另外,為了保證API的安全還應該制定一個包含審計標準、變更控制系統、管理流程、訪問控制措施等在內的管理計劃。
為什么API網關的安全性還不夠好?
我們應該把API網關和API安全區別開來,不能混為一談。前者的訪問控制功能,僅僅是API安全的一部分。更糟糕的是,開發人員確保應用程序正常運行并執行其設計的任務時,攻擊者可以找到巧妙的方法將應用程序變成武器。正如OWASPAPI十大安全文件總結的一樣,API安全威脅同樣包括許多伴隨傳統Web應用程序攻擊的漏洞。
隨著支持API的服務價值激增至數百萬美元,黑客會努力嘗試找到新的方式來獲得不安全的密鑰。主要的三個關鍵驅動因素如下。
1.利用有效API令牌的復雜攻擊可以成功針對應用程序業務邏輯和數據層漏洞。
2.網絡攻擊從有效的API令牌中獲取里程數,可以成功的攻擊應用程序的業務邏輯或數據層,原因是它們的設計是針對允許使用API的漏洞。
3.API網關的主要障礙是它只能監控端點,盡管如此,它仍然不能完全描述其提供的可供消費服務的完整API模式(RESTfulAPI和API交互方式)。
可能危及API安全的三個常見風險
處理API數量的方法乏善可陳
缺乏關于公共的、合作伙伴的、私人的和復合的API總數的信息,使安全團隊無法理解一個API的真正暴露和風險。
黑客與開發人員
黑客通過使用工具,甚至更復雜的方法,侵入開發者層面的API,之后可以利用細微的錯誤來映射API,了解其結構,并找到代碼本身的漏洞。
小企業API安全問題缺乏關注
相較于大型企業,小企業無法提供必要的措施來充分保障其數據,因此所擁有的安全性較低,面臨的安全風險也會增多。
WAAP應運而生
現階段,面臨的API安全威脅增加,防火墻和網關等傳統安全工具無法始終為用戶提供防止API攻擊所需的防御,WAAP(網絡應用程序和API保護)是必不可少的。
另外,考慮到傳統的Web應用程序防火墻解決方案旨在防止基于每個請求的惡意活動。這意味著它們不會阻止所有形式的網絡釣魚,包括魚叉式網絡釣魚攻擊。當黑客利用受害者通過電子郵件提供的信息,直接在公司的環境中進行攻擊時,WAAP能夠確保API被屏蔽,不會導致安全隱患。
WAAP解決方案以四個關鍵功能為中心:
DDoS保護
下一代網絡應用防火墻(WAF)
機器人管理
API保護
通過使用WAAP解決方案監控進入應用程序的所有互聯網流量,企業可以檢測惡意活動并確保只有受信任的客戶才能在平臺上進行合法交易。WAAP解決方案利用完全托管和基于風險的應用程序安全方法來管理Web應用程序,能夠防止網絡威脅的異常活動。
注:本文內容收集自helpnetsecurity.com,制作者對其完整性負責,但不對其真實性和有效性負責。
