什么是API产品经理?
关于 API 安全性和零信任的 3 大要点
Salt Security 联合创始人兼首席执行官 Roey Eliyahu 和 TAG Cyber 创始人兼首席执行官 Ed Amoroso 最近聚在一起,共同举办了一场有关 API 安全和零信任的网络研讨会。当行业专家讨论网络安全领域最热门的两个话题时,一定会收获颇丰 — — 这次也不例外。
是什么导致我们走向零信任?
在 90 年代和 21 世纪初期,组织依赖于边界保护,利用身份验证来促进边界内不受阻碍的用户访问。随着混合环境的兴起和云的增长,这些类型的保护变得过时 — — 导致了“零信任”架构的兴起。
Ed 将“零信任”定义为边界被解除时发生的一种情况——它几乎涵盖了当今混合架构中的所有内容。由于现在几乎可以从任何点访问资源,因此无法划定边界。零信任主张构建“受信任”的环境来托管以最低特权访问运行的应用程序、系统和数据。
绝大多数组织都希望采用某种形式的零信任——我们在一次快速网络研讨会调查中通过以下问题轻松验证了这一事实:
您当前的安全架构中是否考虑了零信任?
- 57% – 零信任是主要考虑因素
- 7% – 零信任只是次要考虑因素
- 35% – 零信任尚未被考虑,但我们正在朝着这个方向努力
换句话说,只有 1% 的受访者表示,他们在架构中完全没有考虑零信任!鉴于零信任对安全计划的巨大影响,组织还必须了解其在 API 安全方面的弱点。
零信任和 API 安全的难题
许多 API 风险无法通过零信任来缓解。由于 API 需要访问功能,因此零信任方法在 API 安全性方面存在问题。以下是 Roey 和 Ed 讨论的三个示例,说明了零信任方法在保护 API 方面存在不足:
- API 支持业务应用程序
- 未知 API 无法通过零信任进行保护
- 许多 API 攻击源自经过身份验证的用户
API 支持业务应用程序
随着数字化转型计划的不断增加,API 的使用量呈爆炸式增长。API 专门用于跨应用程序共享数据和服务。我们组织中流入和流出的大部分数据都运行在 API 上。事实上,正如 Roey 在网络研讨会上所说,83% 的互联网流量是 API 流量!
由于 API 可以支持您的所有应用程序,因此 API 对于实现业务价值至关重要。在线电子商务应用程序中使用的 API 可让您购买所售商品。金融科技 API 可让您根据需要从银行账户转入和转出资金。为了开展数字业务,组织不能拒绝这些 API,否则他们将无事可做。
未知 API 无法通过零信任进行保护
由于 API 的开发和部署速度非常快,而且更改非常频繁,因此不可能手动跟踪所有 API。
在我们的第三季度 API 安全状况报告中,我们发现“影子”或未知 API 以及“僵尸”或过时 API 给组织带来了巨大担忧。42% 的组织表示,他们最大的 API 安全担忧是过时的 API。事实上,在 Salt Security 进行的过去四次调查中,过时的 API 一直被列为头号 API 安全问题。
这些未知且不安全的 API 可能会被暴露,而组织甚至不知道!无论您采用哪种安全措施,如果您不知道资产存在,就无法应用安全性!
许多 API 攻击源自经过身份验证的用户
许多 API 安全事件都是在按照设计使用 API 时发生的。例如,攻击者可以使用社交工程技术获取授权用户的密钥或凭据,从而进行攻击。在这种情况下,即使每个用户都经过零信任身份验证,也无济于事。
最近的 Twitter API 密钥和Peloton事件提供了滥用 API 的示例,这些 API 旨在泄露数据和未经授权的访问。API 的合法使用可让攻击者访问受限制的数据,如OWASP API3:过度数据暴露中所述。
底线——一些 API 风险无法通过零信任来缓解
Roey 和 Ed 认为,API 安全性和零信任之间可能存在很多混淆。现实情况是,即使采用良好的零信任策略,某些 API 安全风险也无法通过零信任来缓解。