您当前位置:首页 > 资讯中心 > 信息安全

保护API安全是不可能的任务?

  应用程序编程接口(API)是公司企业为客户增加其产品价值的好办法。通过将数字资产和服务提供给更广大的受众,API已经发展成了核心业务重点,“API经济”都成了商业行话中的固定词组。
 
  API项目中,既管理访问又保护系统,同时还参与数字生态系统的安全策略十分重要。应用程序主管必须设计、执行并监管有效API安全策略,包括API网关的使用。而随着该领域的发展和业内玩家数量的增加,企业不安全API的采纳所带来的危险也在增多。事实上,到2022年,API滥用将成导致企业Web应用数据泄露较为常见的攻击方式。
 
  举个例子,2018年10月,Facebook披露遭遇重大数据泄露,影响5000多万个账户。攻击者利用了Facebook开发者API收集受影响用户的资料信息,包括姓名、性别和家乡。连Facebook这种首屈一指的大玩家都没能幸免API安全问题。
 
  API就是通往数据和应用程序的大门,在这里融入安全与保护Web应用同等重要。
 
  为全面保护API,解决架构、DevOps和生产中的安全需求是重点。软件开发生命周期(SDLC)中安全评估的拐点取决于开发团队是在遗留应用中启用API,还是打造新的API优先应用。虽然评估和缓解的要求大部分相同,团队还是需要做到:
 
  对API执行动态应用安全测试(DAST),为发现的漏洞创建缓解/修复计划。
 
  为DevOps过程中的API实现代码执行服务组件架构(SCA)和静态分析安全测试(SAST)分析。
 
  在企业应用架构中使用安全设计模式。一些安全设计模式样例包括:
 
  自动编码模板以防止跨站脚本(XSS)通过模板使用输出编码;
 
  采用上下文输入验证以防止输入攻击;
 
  运用同步令牌防止利用令牌的跨站请求伪造(XSRF)攻击;
 
  采用变量绑定防止利用对象关系映射器(ORM)的SQL注入;
 
  使用加密外观以减少密码漏洞
 
  在SDLC中实现健壮的反馈环,根据各类扫描的发现做出响应。
 
  这些步骤确保API享有完整的安全覆盖,团队可以在问题出现前找到并修复漏洞。
 
  你可能会觉得自己已经有了解决API安全问题的管理工具,但拥有该工具还只是实现API安全的步。API管理工具提供的安全策略适用于边界,但对呈上API的业务逻辑安全毫无作用。我们的目标是在软件生命周期中嵌入应用安全(DAST、SAST和SCA),作为整体API安全策略中的一部分,编写出安全由内而外的API。
 
  总之,安全评估的结果对冲刺周期中的开发及安全利益相关者来说至关重要,而上述技术可以提升公司API的完整性和采纳率。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2019-01-02 - 点击量:4769
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们