几乎每个应用程序都会使用一个应用程序编程接口(API)。然而,从安全的角度来看,API也伴随着一些常见的问题。Gartner预测,API滥用将是2022年最常见的攻击类型。那么,API到底面临着什么问题呢?数据安全保护者应该如何做呢?

普遍的API风险

2019年,OWASP公布了10个需要注意的Web应用数据安全风险。包括:

数据暴露:当开发人员公开其对象的所有属性而不考虑这些项目的私密程度的情况下,就会出现这种类型的威胁。因此,在向用户显示任何内容之前,必须进行数据过滤。

安全配置错误:这些数据安全漏洞具有多种形式,包括配置错误的HTTP标头、包含敏感信息的错误消息和公开的云存储。通常,它们是不安全的默认配置的产品。

注入:在这种情况下,命令或查询会向解释器发送不受信任的数据。攻击者可以利用这些类型的缺陷来欺骗解释器运行涉及敏感数据的恶意代码或命令。

日志记录和监控不足:这两种数据安全风险都可能为攻击者提供隐藏在网络中的机会。在那里,威胁行为者可以确定网络范围,转移到关键业务资产那里并窃取数据。

数据安全风险对业务的影响

涉及API的问题不仅阻碍企业推出新应用程序的计划。如果攻击确实发生,他们还要花费时间和资源。

这种情况在2020年发生了很多次。正如Salt Security所指出的,91%的受访者的雇主在一年中至少遭受了一个API问题。在这些受访者中,超过一半(56%)在此期间每月发生了超过55起与API相关的数据安全事件。与此同时,22%的人每月应对多达200起袭击。

新年开始后也没有结束这些API问题。以下是2021年上半年成为新闻头条的几个API事件:

今年2月,研究人员发现,他们研究的所里有30个医疗保健应用程序都面临着遭受API攻击的风险。他们还了解到,这些应用程序使2300万用户暴露在潜在的威胁中。

一个主要的信用机构使用的API工具暴露了几乎每个美国人的信用分数。该工具使人们能够仅使用公共信息通过信用局执行信用检查。

另一个API问题涉及到一个流行的固定自行车制造商。一名研究人员发现,他们可以向该公司的API发出未经身份验证的访问用户账户数据的请求。这个漏洞使研究人员能够访问其他自行车车主的信息。

如何提高API数据的安全性

上述讨论的案例强调了企业和机构未来确保其API安全的必要性。他们做到的方法之一是始终使用SSL和TLS证书。在API中使用有效的证书可以帮助通过加密来保护数据交换。这将使防御者能够保护应用程序免受旨在暴露用户信息的中间人的攻击。

然后,优化防火墙。这些信息对于帮助控制API所启用的信息流至关重要。撤销任何对应用程序需求过于宽松的数据安全规则。这可能需要首先检查防火墙规则和网络对象,以了解特定业务或机构的API使用情况。

最后,企业和机构需要对其客户实施适当的身份认证和授权。他们可以考虑使用协议来限制第三方应用程序对API的访问。这样做可以帮助防止太多的访问和共享太多内容。

不要忘记你的API

API的安全模型并没有跟上现代越来越无边界的网络。这些框架未能发现涉及其API的漏洞。因此,如上所述,API漏洞正变得越来越普遍。

通过密切关注API,企业和机构可以开始正式化其API数据安全工作。通过这样做,他们可以紧跟越来越多变的API攻击的威胁环境。