《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 聚焦影子API 提高网络安全性

聚焦影子API 提高网络安全性

2022-11-05
来源:安全419
关键词: API 网络安全

  API加速了企业的数字化转型,其控制软件的交互方式,并在 Web、物联网(IoT)、移动和 SaaS 应用程序中联通软件,另外,API链接内部系统,与其他业务联系密切,并能够促进与合作厂商的共同创新。API作为连接数据与应用的重要通道,成为了数据安全建设中不容忽视的环节。

  影子API 风险日益增加

  企业会使用数百甚至数千个API,但其中许多API是IT团队所不知道也不了解的。此外,开发人员也可能忘记停用旧版或撤下已被替换的“僵尸”接口。这些影子API 会显著增加企业的风险,2019年,OWASP发布了API 安全中前十名的漏洞,包括对象级授权中断、用户身份验证中断和数据暴露过多等,随着影子 API的扩展,这些威胁向量将呈指数级增长。

  Gartner预测到2022年, API攻击将成为最常见的攻击媒介,这会导致企业Web应用程序的数据泄露。

  需要影子API安全解决方案

  企业通过使用软件即服务(SaaS)平台创建在线目录以高效地发现和管理 API。在线工具支持实时发现并提供元数据,并显示API 在上下文中的工作方式。具有联机目录的团队可以看到所有 API 的业务逻辑,以及流入流出API 的敏感数据。这些重要信息使 IT 和安全团队能够实施有效的安全控制和检测签名。如果他们检测到 API 行为发生变化,这表明存在误用或攻击,IT 和安全专家可以迅速采取行动进行补救或停用。

  创建API 安全文化

  由于企业的数字化业务在不停增长,开发人员不断创建和应用新的代码。相关报告显示,尽管大多数开发人员认为他们的应用程序是安全可靠的,但仍然存在许多易受攻击的代码。,其主要原因包括:

  01 开发人员面临着“截止日期”的交付压力。

  02 漏洞风险低。

  03 在软件开发生命周期中发现漏洞太晚。

  专家表示,使用在线目录有助于创建DevSecOps文化。在该文化中,安全性是预先考虑的,开发人员可以使用联机目录跨外部 API、内部 API 和微服务自动对单个应用程序的请求进行分布式跟踪。

  IT 和安全团队可以通过协作来加强应用程序和 API 的安全性,并借助自动化流程以及整体和细粒度视图,可以进行更深入的分析、做出合理的安全决策以及主动修复漏洞。

  增强智能化以提供更好的 API 保护

  数字化的快速发展意味着随着时间的推移,企业将使用更多的API。应用程序和服务将变得更加互联。专家表示采用零信任安全模型和发展DevSecOps是理想的选择。

  另外,使用在线目录公开 API 生态系统可提供有价值的信息,相关团队能够发现和管理所有 API,从而控制影子API,团队也可以分析每个 API 的业务风险和潜在数据泄露,并确定修正工作的优先级。这样,IT和安全团队就可以追溯最终用户的使用情况,确定API是否受到对手的攻击以及其所在的位置。



更多信息可以来这里获取==>>电子技术应用-AET<<

二维码.png


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。