API(应用程序接口)深深融入现代日常生活。 连接在线操作、银行交易、交通应用和社交网络等服务时,API的安全性是系统开发和实施中的关键方面,因为这些接口经常成为网络攻击和漏洞的目标。
“API 是进入公司的门户,因此必须具有特定的安全级别。 “由于 API 是不同应用程序和服务之间的连接点,如果没有得到适当的保护,它们可能会暴露敏感数据和关键功能”,Sensedia 解决方案主管 Filipe Torqueto 评论道,Sensedia 是一家全球科技公司,是基于 API 的现代集成解决方案的典范。
根据由全球安全专家编写的OWASP API安全项目的第二份报告,API最常见的漏洞包括:对敏感业务流程的无限制访问;服务器端请求伪造;安全配置不当;库存管理不善以及API的不安全使用。 另一项由F5——一家全球多云安全与应用交付公司——进行的研究显示,组织管理的API平均超过400个,其中许多存在重大安全漏洞。
为了帮助最大限度地降低攻击风险,Sensedia 的高管列出了 5 个技巧来确保公司 API 的安全。
1)明确职责
通常,API没有特定的所有者,责任可能由开发团队、维护团队,甚至安全团队共同承担。
“必须明确界定每个人的角色和责任,即使这个责任是大家共同承担的。此外,我建议使用一些“护栏”或“防护屏障”,这对于保证这些接口的开发和运行的安全性、效率和治理至关重要。这些指导方针和实践可以帮助团队保持安全和质量标准,最大限度地降低风险并避免常见错误,”Torqueto 说。
2)关注良好治理实践
API使用治理实践对于确保安全、合规和效率至关重要。
它们制定了明确的指导方针,促进标准化和互操作性,便于系统之间的集成。 此外,治理还允许对API的访问和使用进行有效控制,保护敏感数据并降低风险。
“我建议公司建立一个集中的 API 目录,让负责人能够轻松查看和访问。这甚至可以重复使用,避免在开发可能已经创建的新 API 时返工”,Torqueto 解释道。
“此外,使用正确的身份验证和授权形式至关重要,具体针对 API 想要解决的问题。例如,对于 API 暴露给公众且容易遭受多次破解的应用程序,不仅需要遵循非常强大的身份验证和授权模型,还需要经常进行渗透测试,识别可能的攻击媒介并确保模型正常运行”,该高管补充道。
3)使用人工智能作为另一层保护
在API安全中使用人工智能(AI)已成为一种越来越有效的策略,用于实时检测和缓解威胁。
机器学习算法可以分析流量模式,识别异常行为,从而实现对攻击的早期检测,例如代码注入尝试或未授权访问。
“您需要将 API 安全层想象成洋葱的一层又一层,让攻击者难以行动。这包括实施身份验证、授权、加密、流量监控、使用 HTTPS 等保护措施,甚至人工智能,这可以成为这方面的强大盟友”,Torqueto 说。
“人工智能可以自动化身份验证和授权流程,提高效率和事件响应。凭借适应新威胁和从历史数据中学习的能力,基于人工智能的解决方案使 API 安全性更加主动和强大,确保了系统间交换信息的完整性和机密性,”他补充道。
4)投资自动化
API 自动化对于提高系统开发和管理的效率与敏捷性至关重要。
通过自动化测试、持续集成和部署等流程,团队可以减少人为错误、加快开发周期并确保更快地交付新功能。
此外,自动化有助于 API 的监控和管理,使组织能够实时识别和解决问题,提高应用程序的可靠性和性能,并让开发人员能够专注于更具战略性和创造性的任务,从而推动市场创新和竞争力。
“没有自动化,就不可能有达到所需标准的安全规模。考虑到组织管理的 API 平均数量超过 400 个,建议公司拥有一个平台团队,可以自动执行一切必要操作,以确保其 API 的安全性始终保持最新状态”,Torqueto 说。
5)选择 API 提供商时要小心
选择正确的 API 提供商是一项关键的决定,它会直接影响公司系统的性能和安全性。
“选择 API 提供商时应考虑的一些因素是公司的声誉和可靠性、安全性和合规性实践、支持、可扩展性和性能。这些预防措施将有助于确保您选择满足您的需求并有助于您公司成功的 API 供应商,”他总结道。
