1

没有零信任,就没有真正的API安全

 2 years ago
source link: https://netsecurity.51cto.com/article/715669.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

没有零信任,就没有真正的API安全-51CTO.COM

没有零信任,就没有真正的API安全
作者:GoUpSec 2022-08-04 23:41:10
根据Salt的2022年第一季度API安全状况报告,恶意API调用从2020年12月的每个客户月均273万次飙升到2021年12月的2132万次。Salt的客户拥有Web应用程序防火墙,并且几乎所有客户都拥有API网关,但API攻击正在绕过这些安全控制。

API安全是当下企业面临的最严峻的网络安全挑战之一。在过去的12个月中,API攻击增加了681%,而整体API流量也增加了321%。根据Salt的2022年第一季度API安全状况报告,恶意API调用从2020年12月的每个客户月均273万次飙升到2021年12月的2132万次。Salt的客户拥有Web应用程序防火墙,并且几乎所有客户都拥有API网关,但API攻击正在绕过这些安全控制。

f9f56f89460e8f5c8338580f913cc80241b0be.jpg

API安全失控

API攻击的爆发式增长也扼杀了业务创新。例如,62%的企业承认由于API安全问题推迟了新产品的推出和应用程序的推出。此外,95%的DevOps领导者和团队表示他们在过去12个月中遭遇过API安全事件。三分之一的DevOps组织表示,尽管在生产环境中运行API,但他们的公司缺乏任何API安全策略。

根据Gartner的数据,到2024年API攻击将加速并翻一番。与此同时,API承载的业务量也在高速增长,从2019年到2021年,与API相关的查询量稳步增长,平均同比增长33%。

DevOps领导者面临着在预算内按时交付数字化转型项目的压力,同时还需要开发和微调API。不幸的是,当DevOps团队急于在截止日期前完成项目时,API安全管理往往成了马后炮。当企业中的所有DevOps团队都没有他们需要的API管理工具和安全防护时,API安全问题很快就会失控。

更多的DevOps团队需要一种可靠、可扩展的方法来防止API安全失控。此外,DevOps团队还需要将API管理转移到零信任框架,以降低数据泄露的风险。

API防护的六个阶段

Cequence Security和Forrester在DevOps和API安全网络研讨会提出了API保护的六个阶段。

“那些最大型的组织日常会处理数百个使用扩展API的应用程序,随着数字化的不断深入,未来他们将面对数万或数十万个API。因此,对API的管理和跟踪将变得更加困难。”Forrester首席分析师Sandy Carielli在网络研讨会上说。

Cequence Security则将API防护划分为六个阶段,第一阶段从发现和识别所有面向公众的API开始,然后进阶到库存、合规性、检测、预防和检测(下图):

0756d6a0153526fc424898e4abad4208ffe5dc.png

Cequence Security认为,在整个API安全生命周期采用集成的,基于生命周期的迭代方法有助于识别和管理API,同时能有效检测和防止API攻击。

Forrester的首席分析师Sandy Carielli指出:API需要作为易受攻击的、未受保护的开放攻击面进行管理。网络犯罪分子知道API疏于防护,API攻击近年来保持着三位数的高增长率,企业迫切需要使用零信任框架进行API安全管理。

API攻击面管理离不开零信任

Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美国邮政服务等公司的API漏洞表明,数以千计的API没有受到保护,是网络犯罪分子最喜欢的攻击面之一。API需要最少的特权访问,并使用更基于微分段的方法进行管理。零信任的这两个要素结合身份和访问管理(IAM)框架来管理API,将减少企业目前难以追踪的“流氓API”和“失踪API”的数量。此外,应用最小权限、微分段和IAM将减少用于内部测试的端点数量(这些端点保持打开状态,可以访问API)。

API生命周期需要建立在零信任之上

安全控制不应当成为DevOps的绊脚石。将零信任嵌入API生命周期首先是不信任客户端提供的数据,并使用默认拒绝流程来删除所有隐式信任。DevOps领导者需要将身份验证构建到API生命周期的每个阶段。目标需要是为每个API开发和部署项目设计明确的信任规则。

基于零信任的有效API治理

DevOps领导者及其团队需要帮助平衡其业务对API不断增长的需求与保持合规性的需求,以支持新的数字化转型项目。面对快速地创建API的压力,DevOps团队首先加速业务收益,并尝试在开发时间表允许的情况下赶上合规性、安全性和隐私性。安全控制必须转向API级别的信任,为生成的每种类型的API定义安全上下文。

以零信任加强CI/CD和SDLC

对源代码供应链的攻击表明,零信任必须成为持续集成/持续交付(CI/CD)和SDLC等DevOps框架和流程的核心。类似SolarWinds这样的软件供应链攻击成功地更改了应用程序的核心可执行文件,然后感染了整个供应链,这使得零信任成为当今DevOps团队需要处理的紧迫问题,只有在SDLC设计阶段融合安全,才能让安全不再成为代码生产的阻力。SDLC周期也将运行得更快,因为安全将不再是项目结束后的附加流程,这将大大改善了代码安全治理。

API安全不能是马后炮

为了按时完成大型数字化转型项目,很多DevOps团队负责人急于完成API发布周期,同时将安全性视为完成工作的障碍。这导致API的安全检查和审计工作非常草率甚至缺失。DevOps团队中的每个人都被迫满足或超过代码发布日期。API安全成为没有人有时间处理的附加流程,导致API安全问题蔓延。

当零信任成为API和DevOps流程的设计目标时,安全性才能在整个SDLC中得到加强。此外,IAM和微分段将极大地提高库存准确性,减少流氓或被遗忘的API的威胁,避免整个平台或公司因网络攻击而瘫痪。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK