Help net security發佈了一篇良好的 API 安全策略的重要性
API(應用程式介面)是現代軟體開發的關鍵組成部分,它可以讓不同的應用程式和服務之間進行交互和整合。根據 Cloudflare 2024 API 安全與管理報告,在 2024 年,API 請求佔了全球動態網路流量的 57%。但隨著 API 的廣泛採用,也帶來了許多安全上的挑戰。在過去兩年中,有 60% 的組織遭受了至少一次涉及 API 的資安事件。這是一個令人警惕的趨勢,需要被有效地解決。
API 安全不足的後果
駭客喜歡利用 API 的原因有很多,但主要是因為 API 可以讓他們繞過安全控制,輕鬆地存取敏感的公司和客戶資料,以及某些功能。最近,一個涉及社群媒體平台 Spoutible 的公開 API 的事件,可能導致攻擊者竊取使用者的 2FA 秘密、加密的密碼重設權杖,以及更多資訊。這類型的事件可能導致客戶和商業夥伴的信任流失,進而造成財務損失和品牌價值下降。API 安全不佳的做法也可能帶來法規和法律上的後果,導致公司營運中斷,甚至造成智慧財產權的盜竊。
API 的攻擊方式
攻擊者可以對 API 發動各種攻擊,例如:
- DDoS(分散式阻斷服務攻擊)
- 暴力破解
- 代碼注入
- 中間人攻擊
「API 的性質也使得攻擊更容易執行,並造成更嚴重的影響。與傳統的網路攻擊鏈相比,它由七個階段組成,攻擊者必須通過這些階段才能利用和入侵一個系統,API 的利用卻將攻擊鏈縮短為三個簡單的階段:偵察、武器化和利用。」前 Wib 產品團隊主管 Yonathan Michaeli 說道。「攻擊者無需安裝惡意軟體,控制您的系統,或完成任何活動來利用您的系統;通過 API,攻擊者可以通過發送簡單的請求,獲取大量的敏感資訊。」
規劃策略
一個好的 API 安全策略對於每個想要保護其數位資產和敏感客戶資料的組織都是必不可少的。OWASP 不斷更新其 API 安全威脅的前十名清單。雖然安全從業者不能僅依賴這些資料,但這個清單仍然是規劃一個可靠安全策略的重要工具。遵循 NIST 網路安全框架也是規劃一個好的 API 安全策略的必要步驟。網路安全流程的關鍵階段(識別、保護、偵測、回應和恢復)是處理高優先級風險的通用方法。有了這些基礎,組織需要實施 API 安全的最佳實踐。Check Point 提出了以下幾點:
- 實施身份驗證和授權
- 使用 SSL/TLS 加密
- 實施零信任存取控制
- 定期進行安全測試和風險評估
- 及時更新和修補漏洞
- 持續監測和警示異常活動
將安全內建於 API 中是確保 API 漏洞不會成為安全漏洞的最佳方式。
詳情請看: