業(yè)務(wù)情報和 API 數(shù)據(jù)安全方案廠商永安在線于近日發(fā)布《API安全建設(shè)白皮書》(以下簡稱:白皮書),,對 API 在現(xiàn)代 IT 業(yè)務(wù)系統(tǒng)中所起到的關(guān)鍵作用,,以及普遍應(yīng)用下的安全挑戰(zhàn)作出了詳細介紹,為應(yīng)對 API 安全挑戰(zhàn),,白皮書提出了“API 全生命周期安全防護模型”,以供企業(yè)建設(shè)安全的 API 提供參考。
該白皮書指出,,API 全生命周期安全防護包含 API 從設(shè)計到開發(fā),再到測試,、上線運行,、迭代及下線共計六個階段,利用全生命周期理念來考慮 API 的安全性,,通過安全左移方法和工具,,綜合性的融合管理手段和技術(shù)手段進行 API 安全治理,可提高業(yè)務(wù) API 的整體安全性,。
永安在線COO邵付東談及了此次《API安全建設(shè)白皮書》發(fā)布初衷,,以及企業(yè) API 安全建設(shè)難點,正確的 API 建設(shè)路徑等諸多問題,。
企業(yè)普遍缺乏API安全實踐
已成數(shù)據(jù)安全最大風險敞口
邵付東表示,,鑒于 API 安全本身的重要性,以及近些年來因 API 保護不當所引起的諸多安全事件,,這需要企業(yè)能夠系統(tǒng)地去解決 API 安全問題,。永安在線則通過自身多年對 API 安全的理解和實踐經(jīng)驗,梳理了通過 API 全生命周期安全防護的 API 安全建設(shè)之路,,希望企業(yè)能夠從中有所借鑒,,這也是發(fā)布《API安全建設(shè)白皮書》的初衷,。
該白皮書指出,API 是數(shù)據(jù)交互最重要的傳輸方式之一,,也因此成為攻擊者竊取數(shù)據(jù)的重點攻擊對象,。白皮書引用相關(guān)數(shù)據(jù)表示,數(shù)據(jù)泄露事件中有三分之二是由不安全的 API 造成的,。據(jù)預(yù)測,,到 2022 年,API 濫用將成為導(dǎo)致企業(yè) Web 應(yīng)用程序數(shù)據(jù)泄露最常見的攻擊媒介,,甚至在 2024 年 API 安全問題引起的數(shù)據(jù)泄露風險將翻倍,。
所以白皮書在梳理 API 面臨的主要安全問題時,也首次提及了來自監(jiān)管合規(guī)方面的挑戰(zhàn),。其認為大多數(shù)企業(yè)在數(shù)據(jù)的流動訪問方面的安全建設(shè)意識正逐步萌芽和發(fā)展,,而 API 作為連接數(shù)據(jù)與應(yīng)用的主要通道,正成為數(shù)據(jù)傳輸中最薄弱的環(huán)節(jié)之一,。
邵付東告訴安全419,,金融行業(yè)有明確的 API 安全建設(shè)標準(金融行業(yè)標準 JR/T 0185-2020《商業(yè)銀行應(yīng)用程序接口安全管理規(guī)范》),但整體來看,,各行業(yè)在 API 的安全防護上還是比較薄弱的,。隨著數(shù)字化發(fā)展,API 數(shù)量劇增,,現(xiàn)階段 API 架構(gòu)的安全建設(shè)相對滯后,,API 的增速與其安全發(fā)展的不平衡,使其成為企業(yè)數(shù)據(jù)安全最大的風險敞口,。
業(yè)務(wù)優(yōu)先和API安全意識薄弱
是API安全建設(shè)核心難點
在談及企業(yè)在進行 API 安全建設(shè)時存在的難點時,,邵付東從多方面的經(jīng)驗梳理總結(jié)了以下兩點見解:
第一,大部分企業(yè)客戶優(yōu)先考慮的是業(yè)務(wù)快速迭代發(fā)展,,安全隨著業(yè)務(wù)的發(fā)展才會慢慢被重視;第二,,企業(yè)對 API 安全建設(shè)的重要性認識仍顯不足,,這也直接造成了企業(yè)普遍存在諸多的 API 安全隱患。
白皮書曾對 API 的重要性做出如下總結(jié):在當今應(yīng),?程序驅(qū)動的世界中,,創(chuàng)新的?個基本元素就是 API,。從銀,?、零售,、運輸?shù)轿锫?lián)網(wǎng),、自動駕駛汽車和智慧城市,,API 是現(xiàn)代移動端、SaaS 和 Web 應(yīng)用程序的關(guān)鍵部分,,企業(yè)在面向客戶,、面向合作伙伴和機構(gòu)內(nèi)部的應(yīng)用程序中隨處可見 API 的使用。從本質(zhì)上講,,API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù),,如個人身份信息,正因如此,,API 越來越多地成為攻擊者的完美目標,。由此可見,沒有安全的 API,,企業(yè)的快速創(chuàng)新也將無從談起,。
從本質(zhì)上講,API 暴露了應(yīng)用程序的邏輯和敏感數(shù)據(jù),,如個人身份信息,,正因如此,API 越來越多地成為攻擊者的完美目標,。由此可見,,沒有安全的 API,企業(yè)的快速創(chuàng)新也將無從談起,。
API全生命周期安全核心
是實現(xiàn) API 資產(chǎn)可視,、攻擊可知
在談及企業(yè)有效的 API 安全建設(shè)路徑時,邵付東先是闡述了企業(yè)安全建設(shè)的本質(zhì)問題,,他指出,,企業(yè)遵循業(yè)務(wù)優(yōu)先是企業(yè)生存的前提,“如果業(yè)務(wù)都沒有了,,那還談什么安全,。”他認為企業(yè)的整體安全建設(shè)應(yīng)遵循:第一,、業(yè)務(wù)優(yōu)先,,第二、解決可見性,,第三,、做到整體可控。
最終落實到 API 安全建設(shè)路徑方面,,邵付東認為首先在業(yè)務(wù)優(yōu)先的基礎(chǔ)上,,企業(yè)需要對上線的 API 進行整體地梳理,要務(wù)是實現(xiàn)對所有 API 資產(chǎn)的可視,再進行持續(xù)的 API 漏洞評估和及時感知 API 攻擊風險,,實現(xiàn) API 風險的可控,。從業(yè)務(wù)安全角度來講,這也是企業(yè)能夠健康發(fā)展的前提,。
邵付東解釋稱,,做好以上提到的 API 上線后的安全建設(shè),企業(yè)可以及時了解 API 資產(chǎn)變化情況,,解決全量 API 安全可見性問題,。之后,再通過安全左移,,將視角轉(zhuǎn)到 API 上線前的設(shè)計,、開發(fā)、測試等階段,,過程中結(jié)合上線后的安全實踐總結(jié),,可更加有的放矢,避免盲目投入,。
“通過對 API 上線過程問題和隱患的發(fā)現(xiàn)梳理,,將其視為企業(yè) API 全生命周期安全建設(shè)的核心和起步點,同時這部分工作還可以作為企業(yè) API 安全左移過程中重要的參考依據(jù),,從目標感中獲取解決具體問題的方法來構(gòu)建整體 API 安全,,我認為,這將會令 API 全生命周期安全建設(shè)更加有的放矢,?!?/p>
API 全生命周期安全防護
對于企業(yè)用戶的意義
“全生命周期”最近幾年經(jīng)常出現(xiàn)在網(wǎng)絡(luò)安全領(lǐng)域,比如在數(shù)據(jù)安全領(lǐng)域,,其全生命周期泛指數(shù)據(jù)的采集,、傳輸、存儲,、共享,、使用、銷毀等階段,,每一個階段均通過一定的安全措施做到安全可控,。
邵付東稱,永安在線之所以在 API 安全領(lǐng)域提出全生命周期安全防護概念,,更多的是想表達對 API 安全管理的一種愿景,即企業(yè)用戶也可以將 API 以資產(chǎn)的視角進行管理,,其意義在于更便于企業(yè)用戶通過整體的方法進行思考,,從而關(guān)注其整體的生產(chǎn)效率和安全問題。
據(jù)邵付東進一步介紹,其提出的 API 全生命周期安全防護模型一方面源于永安在線長期在業(yè)務(wù)安全上的實踐,,同時也源于客戶一側(cè)對 API 安全的實際需求總結(jié),,即總體來自用戶側(cè) API 安全真實需求且基于業(yè)務(wù)的方法梳理。
正如白皮書指出的那樣,,針對 API 存在威脅防護,,使用 WAF 類產(chǎn)品只能覆蓋其中的一小部分威脅,對業(yè)務(wù)而言,,從單點考慮 API 功能安全設(shè)計到通過對 API 生命周期來考慮 API 的安全,,圍繞設(shè)計、開發(fā),、測試,、 上線運行、迭代到下線的每一個環(huán)節(jié)加強安全建設(shè)更加必要,。
在采訪中,,邵付東列舉了一些企業(yè)客戶進行 API 安全建設(shè)的具體實踐及過程中所面臨的困境,而白皮書在其第三章節(jié)的“API 全生命周期安全防護”具體內(nèi)容則呼應(yīng)了這部分內(nèi)容,,白皮書梳理的 API 全生命周期安全防護不同階段的具體能力建設(shè),,均具體到了方法論和具體的安全實踐工具。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
