API接口安全防护如何加强

          确保安全、质量和开发团队可以访问API报告(例如,通过API管理软件),以确保跨团队的可见性。确定如何更新组织的变更管理流程,以便在实现新API或修改现有API时通知相关利益相关者。不断清点组织提供的API或正在开发的API。组织从第三方获得的API也应该包括在这个API目录中,通常由完整的API生命周期管理解决方案提供。CDN产品可以用来动态发现API,对web流量(可能包括API流量)有可见性。与软件开发生命周期的整合,尤其是应用开发生命周期管理,可以提前考虑新API的规划开发工作,也可以改变现有的API,而不是以后清点仓库,因此在开发API时可以应用适当的API安全策略。

outputo-20220128-091719-509-gntv.png

监控和测试供应商识别API使用中正常和异常行为的能力,尤其是云交付的API。监控组织使用的外部第三方API。这可以通过一些API管理供应商提供的反向网关功能来实现,从而将策略应用于API(而不仅仅是API交付)。根据监控API可访问的数据和应用程序(是否对业务至关重要)及其客户端的使用情况,对API进行分类。

保护,将安全策略应用于API(例如,使用API网关),但避免每个API都有特殊的安全策略。相反,可重用策略可以根据API的分类来实施。从战略本身中提取任何特定的API特征(如URL路径)。API安全应用于整个API生命周期,包括新版本的API安全测试(AST)。良好的API安全性还需要在整个应用生命周期中进行更改和控制。比如应该只允许一些开发者更改API,只要API在开发过程中更改,就会进行应用安全测试。API的无记录更改也会严重影响整个系统的可用性和安全性(例如,如果API更改,一些保护可能会根据预期停止工作)。

API安全策略中的上述遗漏可能会使工作负荷容易受到攻击。那么,如何解决这些故障呢?首先,检查工作负荷中的所有API。这可以在自动化工具的帮助下完成。这些工具可以识别已知和未知的API,并提供关于这些API的信息。这些信息在实现安全性方面可能非常重要。市场上有自动化工具,它们使用机器学习来识别API的性质和正常的基线行为。标记与此行为的任何偏差,并向团队发出警报。高效的API安全工具还将区分异常和恶意行为,以实现更有效的安全实施。成熟的工具还会在运行过程中扫描API,以确保攻击者不会使用生产中从裂缝中溜走的API。

在2022年之前,API滥用将是企业web应用程序中最常见的数据泄漏攻击载体。API的安全性不应该掉以轻心,尤其是当团队的注意力没有从基本任务中转移出来的时候。合理的API安全策略将确保安全实现。

分享: