API技术逐渐成了现代数字业务环境的基础组成,也是企业数字化转型发展战略实现的核心要素,几乎所有的企业都依赖API进行服务连接、数据传输和系统控制。然而,API的爆炸式应用也为攻击者提供了更多的方法,而现有的安全工具却难以检测和减轻特定于API的威胁,使组织容易受到妥协、滥用和欺诈的影响。
据网络安全厂商Traceable AI最新发布的报告数据显示,在过去两年中,由API引发的网络攻击面正在持续增加,60%的受访企业发生过与API相关的安全事件,其中74%的组织存在三次或以上的安全事件。同时,能够有效识别API活动及用户行为的企业不足四成,有57%的受访企业表示传统的安全解决方案难以识别API活动和API欺诈事件。更糟糕的是,61%的受访组织预计未来两年API相关风险将继续攀升,但只有33%的受访组织对有效管理API威胁有信心。
由于API在设计架构上的特殊性,它们无法通过传统的应用安全工具进行有效的保护,而是需要企业安全团队的更全面关注,并从更广泛的角度解决API应用安全缺口。以下是今年以来6个值得关注的API计划、项目和事件,旨在帮助组织改进和优化API应用的安全性。
1、Open Gateway API计划推出
今年2月,全球移动行业协会GSMA推出了GSMA开放网关(GSMA Open Gateway)计划,这是一项面向全行业的API安全性保护倡议,旨在帮助应用系统的开发者和云服务商通过开放网络API框架,加强与移动运营商的合作,从而更安全地提供对全球运营商网络的访问服务。研究人员表示,该计划或将成为云基础设施服务与运营商物理网络之间的通用安全“粘合剂”。
据GSMA相关负责人介绍,Open Gatewa API计划已经得到全球超过20家的移动网络运营商的支持,包括America Movil、AT&T、Axiata、Bharti Airtel、德国电信、KT、法国电信、威瑞森和沃达丰等,以及我国的电信运营商中国移动。
2、零信任API安全参考架构发布
今年6月,创新安全公司Traceable AI发布了零信任API安全参考架构,这是一个将API安全性集成到零信任安全架构的实践指南。据Traceable AI表示,该架构与NIST零信任架构保持一致,确保了兼容性、互操作性和法规遵从性,帮助企业组织以可靠的方式实现零信任架构下的API应用安全性。该架构主要概述了如下内容:
- 确定了API级别的零信任关键原则和定义;
- 明确零信任在API级别方面需要考虑的因素;
- 组织在零信任部署中实现API安全性的策略。
3、《API安全最佳实践白皮书》编写完成
今年6月,F5公司完成编写并发布了《API安全最佳实践:API防护的关键考虑因素》(API Security Best Practices: Key Considerations for API Protection)白皮书,概述了现代企业组织面临的各种API安全挑战和风险,以及安全和风险团队可用于加强组织API安全的策略。
白皮书研究发现,API促进了去中心化和分布式架构,为第三方能力集成提供了更多的机会,也从根本上改变了安全和风险团队的运作方式。为了应对API安全,新一代防护方案需要包括持续监控和保护API端点,以及对不断变化的应用程序生命周期做出反应。
电子书传送门:
https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection
4、《Web应用安全性指南》联合发布
今年7月,澳大利亚网络安全中心(ACSC)、美国网络安全和基础设施安全局(CISA)以及美国国家安全局(NSA)联合发布《Web应用安全性指南》,警告Web应用程序的供应商、开发人员和用户组织,应该高度关注和避免不安全的直接对象引用(IDOR)漏洞。
IDOR漏洞是一种访问控制漏洞,允许恶意行为者通过向网站或Web API发出指定其他有效用户的用户标识符的请求,来修改或删除数据或访问敏感数据。IDOR攻击是最常见且危害性巨大的API攻击形式之一,已导致数百万用户和消费者的个人信息泄露。为此,报告编写人员强烈鼓励供应商、设计人员、开发人员和最终用户组织尽快实施以下安全建议:
- 实施设计安全和默认原则,并确保软件对每个访问敏感数据的请求执行身份验证和授权检查;
- 使用自动化工具进行代码审查来识别和修复IDOR漏洞;
- 使用间接引用映射,确保ID、名称和密钥不会在URL中公开,并将它们替换为加密强度高的随机值;
- 引用第三方库或框架时要进行安全性尽职调查,并使所有第三方框架和依赖项保持最新;
- 选择Web应用程序时要进行安全性尽职调查,遵循供应链风险管理的最佳实践;
- 尽快为存在安全隐患的Web应用打上补丁;
- 定期进行主动漏洞扫描和渗透测试,以帮助确保面向互联网的Web应用程序和网络边界的安全。
5、OWASP更新API安全风险列表
今年7月,OWASP发布了本年度API安全性Top10榜单,详细介绍了企业面临的十大API安全风险。这是自2019年发布以来首次更新特定于API的风险指南,旨在教育那些参与API开发和维护的人员(例如开发人员、设计人员、架构师、管理人员或组织)规避常见的API安全风险。最新的API安全风险列表如下:
- 对象级授权失败(BOLA);
- 破损的身份验证;
- 对象属性级别授权失败;
- 无限制地资源消耗;
- 功能级别授权失败;
- 无限制访问敏感业务流;
- 服务器端请求伪造(SSRF);
- 安全配置错误;
- 库存管理不当;
- 不安全的API使用。
6、加强API安全生态系统合作的STEP计划推出
今年8月,安全公司Salt Security启动了Salt技术生态系统合作伙伴(Salt Technical Ecosystem Partner,STEP)计划,旨在整合整个API生态系统的解决方案,并使组织能够强化自身的API安全态势。该计划旨在帮助企业开展基于风险的API应用安全测试方法,将扫描工作集中在高优先级的API应用上。
StackHawk首席执行官Joni Klippert表示:“为了提供强大的AppSec程序,开发人员需要使用更先进的技术,在将代码部署到生产环境之前,简化查找和修复漏洞的过程。鉴于API开发的爆炸式增长,团队需要优先考虑并自动化API的安全测试,并以与开发人员工作流程无缝集成的方式进行测试。”
参考链接:
https://www.csoonline.com/article/652754/6-notable-api-security-initiatives-launched-in-2023.html