查看原文
其他

永安在线首届API安全管理论坛成功举办

藏青 安全419 2022-08-17

12月3日,由永安在线举办的首届API安全管理论坛在深圳举办。在论坛上,OWASP中国的广东区域负责人肖文棣、腾讯技术工程事业群安全专家胡珀、乐信集团信息安全中心总监刘志诚等多位专家从不同视角对API安全带来的挑战与风险进行了深度剖析,并分享了针对性应对策略与治理的最佳实践。


伴随着云计算、移动互联网、物联网的蓬勃发展,越来越多的开发平台和第三方服务快速涌现,应用开发深度依赖于API之间的相互调用,API承担起连接服务和传输数据的重任。随着API广泛应用及快速不断增长,在带来巨大便利的同时API也带来了新的安全问题,如何让API安全与发展同行,成为各大企业迎接数字化变革的重要一环,同时也得到了安全行业的广泛关注。



OWASP 中国广东区域负责人肖文棣在演讲中指出,在当今由应用程序驱动的世界中,API(应用程序编程接口)已经成为了创新的基本要素。在银行、零售、运输到物联网、自动驾驶汽车和智慧城市等多种场景下,API 已经成为现代移动、SaaS 和 Web 应用程序的重要组成部分,并广泛分布于企业面向客户、面向合作伙伴以及内部的应用程序中,因性质使然,API 会暴露应用程序逻辑和个人身份信息 (PII) 等敏感数据。正因为如此,API 逐渐成为众多攻击者的目标,没有安全的API就不可能实现快速创新。


随后,他对报告中提到的十大关键API风险进行了解读,并结合具体攻击和案例剖析了不同类型API存在的安全风险,向参与到API开发和维护过程中的开发人员、设计师、架构师、安全人员等给出了详细的安全设计建议。



肖文棣指出,第一,在API接口的开发与维护过程中,授权是极为关键的关注点,因此首先要做到的就是关注组合对象、组合功能之间的授权;第二,安全是设计出来的,因此在做威胁建模的时候要采用最小化原则,默认不许可和默认没有任何权限,只在有需求的情况下进行授权;


第三,配置最容易犯错误,在API开发时一定不能使用默认值,让攻击面最小化;第四,注入是永恒的话题,在开发的过程中要每一次注入、输入都需要检验;第五,通过日志监控是十分必要的监控手段,所有的错误都会在日志中有记录,并且日志拥有无法更改的天然属性。



在题为《新的安全威胁:API安全的挑战及应对策略》的演讲中,腾讯技术工程事业群安全专家胡珀分享了腾讯在API安全治理方面的思考和经验。


胡珀表示,WEB API本身就是一个CGI公共网关接口,因此API安全一直以来都是WEB安全中的一类,并非是新出现的安全问题。之所以近两年安全行业开始提高对API安全的重视程度,其背后主要存在几点原因:


首先,外部黑客紧盯,因为API承载了大量的重要数据和业务,自然会遭到黑客的觊觎;其次,行业在API安全方面能力普遍沉淀不够,开发人员在编码的时候并没有考虑到API需要特殊对待;


此外,企业内部API安全治理能力没跟上业务发展速度,在企业开始大量的使用API的时候,安全团队还在重点解决防范攻击入侵的安全问题,没有看到API可能给企业带来的攻击敞口;


最后,企业自身的安全机制也存在不足,业内有数据统计,高达75%的企业API甚至没有做过安全测试,包括在做漏洞扫描的时候都没有将API作为风险项进行考虑。


具体到API安全治理方面,胡珀介绍了多种思路,包括使用API安全网关通过服务网格治理、在WAF中添加相应的检测规则和逻辑、依托于威胁情报实现对API安全风险的感知以及基于DevSecOps敏捷安全开发来治理API安全风险等。他建议,企业应该结合自身所处的发展阶段来选择具体的解决方案,以更匹配自身企业的技术方式推动API安全建设的落地。



乐信集团信息安全中心总监刘志诚站在数据安全的视角,带来了以API安全解决数据安全问题的实践分享。刘志诚谈到,API安全实际上是一项在设计过程中保障安全的能力,因此在数据安全方面也可以通过API安全治理来实现数据安全的目的。API广泛存在于数据的整个生命周期中,因此数据因API而敏感。


刘志诚认为,解决API带来的数据安全风险,可以从API的认证与鉴权、加密与脱敏、行为分析、行为管控以及审计与追溯等方面着手。防止API引发的敏感数据泄露风险,需要建立起结合预防、检测、响应和管理为一体的API安全能力。


他提到,除了相应的认证措施、鉴权、加密和脱敏外,还要具备对API的安全检测能力和预警能力、响应能力,对API中出现的敏感数据,无论其是否存在权限的异常,都要第一时间进行阻断和溯源。同时还应该形成一套API安全管理机制,定期的对API安全风险进行审计和报告,以保证跟踪到所有在API环节上出现的数据安全风险状态整体的可视化。



永安在线COO邵付东在《API安全管理的更优解:以情报建立API安全基线》的主题演讲中谈到,API在当前成为数据流转的主要通道和基础设施,也形成了新的攻防面,因为每一个API都有可能会成为系统的薄弱点,而API更是承载着业务和数据的安全。永安在线所提出的基于情报的API安全解决方案--永安在线API安全管控平台则可以从API资产梳理,API风险评估以及API风险感知等方面全方位帮助企业从容地应对API安全问题。


他谈到,通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,同时还可以掌握到哪些敏感数据是在流动的。而基于情报所能赋予的能力,更是可以保证针对API的攻击被及时发现并阻断,而且精准度很高,而这些特点则进一步形成了该平台在API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等多方面的能力优势。


邵付东介绍,永安在线API安全管控平台通过情报为业务建立API安全基线,在实际应用中具备误判率低,可用性高的特点,能够做到及时全面感知企业外部API风险的同时,基于精准预警输出的攻击者IOC情报,可以联动WAF或风控系统等快速处置攻击风险,从而帮助企业实现更好的进行API风险识别及阻断。


安全419注意到,当前API安全已在业界引起了广泛的关注,本次活动是业内首个聚焦于API安全问题的专业论坛,为业界搭建了一个深度交流和探讨API安全问题的平台,让参与本次论坛的开发人员、架构师、安全人员等群体对API安全风险与应对策略建立了更深度的认知,为下一步各企业治理API安全风险提供了建设目标与方向指引。


THE END

// 推荐阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存