网安 - 专业的网络安全产业、社区、知识平台

RASC解读-The Rise of API Security

VSole2022-07-08 16:18:01

一、前言

在2022RSA大会上,来自Techstrong Research[1]的Mitch Ashley发表了一个名为“The Rise of API Security:It’s 10 pm – Do You Know Where Your APIs Are?”的演讲。该议题主要针对目前不断增长的API安全进行了调查和探讨。Mitch Ashley从API安全增长的原因,目前企业的API安全建设现状,以及API的管理建设分析了当前API安全的发展趋势。

二、API安全增长的原因

API(Application Programming Interface)作为程序之间交互的桥梁,承担着数据传输的重大作用。随着软件工程的不断发展,企业的系统结构也在顺应潮流不断发展。

传统的单体应用的架构因为其单一应用,非模块化,只区分UI界面,数据,业务逻辑,只需要对外暴露少量API即可。但是这种模式比较臃肿,不够灵活。因此,催生出对面服务的SOA架构,将各个模块功能拆分为服务,对外暴露,并使用broker服务发现,并定义特定的数据传输协议和各种远程调用协议,例如早期的zookeepr,dubbo。成功地将传统的单体应用变成了分布式的应用,模块的扩展也更加灵活。随着云原生技术的发展,容器化技术,可编排,微服务,服务网格等技术使得业务的架构管理更加灵活。与之同时,带来的也是各个模块之间交互的API的大量增长。

图1 软件架构引进过程

面对越来越细化的业务需求,如图2所示传统的瀑布式的开发流程也如同单体架构一样愈显臃肿。从项目的需求,设计,开发,测试,发布,运营,整个流量往往是以季度为单位。新的API的引入的周期也比较长。

图2 瀑布流式开发模式

因此图3所示的DevOps形式的敏捷开发流程也越来越受到公司的青睐。需求快速迭代,往往2-4周就一个迭代周期。新的功能也能比较快地上线,API引入的代价也会比瀑布式开发流程低很多,这也导致了会更容易引入新的API。

图3 敏捷开发流程

但与之同时,如何对快速增长的海量API进行安全治理与管控也成了企业实施DevOps时必须考虑的一个重要环节。

三、企业API安全建设现状和问题

根据图4企业2022年API 安全项目调查显示,目前仅有 18.3%的企业建立了API安全的项目,但是在图5的DevSecOps流程是否优先考虑API安全性调查中显示,有45.53%的企业期望在其DevSecOps中优先考虑API安全性。这表明API安全仍有着很大的市场。

图4 企业2022年API 安全项目调查

图5  DevSecOps流程是否优先考虑API安全性调查

图6中,用户最关心的3个API安全的问题,大家主要担心的是数据泄露、扩展了攻击面和被外部实体利用。数据是企业最重要的资产之一,我国的《数据安全法》也在2021年正式实施。API新引入的攻击面与广泛存在的API对外暴露场景,也要求企业对API的暴露面与正确使用做好相应的管控。API安全建设是企业安全建设的一个重要环节。

图6 用户最关心的3个API安全的问题

四、API安全建设

API安全建设是一个持续的建设的过程。API的安全建设主要覆盖以下3个方面,如图7所示。

API生命周期的管理:覆盖API的创建,发布,实现,维护,以及退出的整个周期。

API安全:需要做好API的认证,授权,发现,防护,测试,分析。

API协议:API涉及多种类型的协议和数据类型,做好不同类型的协议和数据的分析只是也只API安全建设中很重要的一环。

图7 持续的API管理

关于API安全的管理。Mitch Ashley提出“API先行”(API-FIRST)的理念。企业应该将API安全治理相关的设计放到产品设计的初期阶段。在API的生命周期里面就应当考虑到API的安全设计,做到持续的面向API的安全治理,并确保API安全与DevOps/DevSecOps相融合,实现安全能力的左移,在系统设计初期就引入安全能力,将能够有效的规避后期可能出现的大量风险。这要求我们在API的设计之初就需要遵循一定的设计安全规范,来保障安全的有效性。关于需要遵循的API安全实践,通常有以下方面:

· 遵循OWASP API TOP10的规范[2]

· 采用OAuth或者API鉴权

· 添加合适的流控限制

· 零信任

· API网关

· 做好代码审计扫描

五、总结

在现在云原生的环境下,随着系统架构和开发模式的迭代更新,API的数量呈现飞速上涨趋势,API的安全风险也越来越不容忽视,越来越多的攻击瞄准了系统的API。而从调查来看,目前企业的API安全建设还不够完善。这也意味着这里存着在一个比较大市场机会。关于如何做好API安全,企业可以通过API先行的方式,在系统设计初期就做好API的管理,规避API的安全风险。同时做好API的整个生命周期的安全管理,遵从API安全实践,减少API风险,降低企业攻击的暴露面,防止网络攻击与数据泄露。

参考文献

参考文献

[1] https://techstrongresearch.com

[2] https://owasp.org/www-project-api-security


api架构
本作品采用《CC 协议》,转载必须注明作者和本文链接
五大API安全漏洞及缓解措施
2023-04-20 14:00:27
措施API响应仅返回满足请求所需的数据,具体来说就是API进行的数据库查询应仅获取相关记录和字段。措施API应仅公开HTTPS端点。攻击者在利用API漏洞实施网络攻击之前,可能会花费数天时间进行侦察。企业应部署全面的API流量日志记录和监控,以便在造成损害之前发现并阻止攻击。对于高度分布式的API基础设施来说,传统的基于边界的安全方法不足以阻止攻击。
API安全战役没有退路,永安在线坚定走在行业前列
2022-07-15 10:14:42
API攻击过去12个月增加了7倍,影响了95%的组织,Salt Labs发布的2022年第一季度API安全状况报告数据,受到广泛关注。企业因API而导致大量数据泄露的事件屡见不鲜。永安在线还成立了一个黑灰产研究团队“鬼谷实验室”,负责发布黑灰产研究报告,对黑灰产的攻击方式以及风险进行评估分析。API赛道正成为炙手可热的赛道。
再获认可!威胁猎人入选IDC 2022年中国API安全领域推荐厂商
2023-02-06 14:00:50
近日,全球权威咨询机构IDC发布《中国API安全市场洞察,2022》,威胁猎人凭借API安全管控平台的突出表现,成功入选IDC2022年中国API安全领域推荐厂商。向新而行,步履不停,威胁猎人一直致力于API安全领域的创新与发展。目前,威胁猎人已陆续在银行、证券、保险、互联网、政务等行业落地实践,并得到了众多头部客户的一致认可。2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”
风险形势严峻,API安全建设亟需加强
2022-11-11 09:21:26
安全419关注到,威胁情报和API安全方案厂商永安在线近日发布了2022年第三季度的《API安全研究报告》,该报告基于永安在线情报系统在当季发现的一手API攻击事件汇集而成,从实际发生的风险来反映当下API安全的风险态势。在永安在线本年度所发布的前三季度报告中,营销作弊是API攻击中占比最高的场景。
邵付东:API安全核心是实现API资产可视、攻击可知
2022-09-08 11:43:26
白皮书引用相关数据表示,数据泄露事件中有三分之二是由不安全的 API 造成的。据预测,到 2022 年,API 滥用将成为导致企业 Web 应用程序数据泄露最常见的攻击媒介,甚至在 2024 年 API 安全问题引起的数据泄露风险将翻倍。所以白皮书在梳理 API 面临的主要安全问题时,也首次提及了来自监管合规方面的挑战。
从“人大学生信息被非法获取”事件看API风险管理的重要性
2023-07-05 09:26:00
目前马某已被海淀公安局分局依法刑事拘留,案件正在进一步调查中。以API资产为中心,全面梳理API资产、发现阻断API攻击,提升风险事件的响应速度。威胁猎人基于风险情报构建的API安全管控平台,能够梳理系统所有的敏感数据API,评估API的认证授权、数据暴露和脱敏不一致等设计缺陷。
威胁猎人聚焦情报能力,发力API安全
2023-01-12 10:05:13
威胁猎人发布全新价值主张:“以情报构筑数字化安全基石”
通过两个数据泄露事件来分析数字政务在API安全上遇到的挑战
2022-03-23 05:35:32
一、先来看两个真实的事件: 1、2022年1月,永安在线工具情报平台发现了一款工具正在对某南方省会城市网上交管业务系统进行攻击,这个工具利用了该政务系统注册环节,某个API的实现逻辑问题,可以通过身份证号查询到任意人的手机号
VSole
网络安全专家