如今，隨著對企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊變得越來越復(fù)雜，很多企業(yè)通過投資最新的防火墻、數(shù)據(jù)和端點保護以及入侵防御技術(shù)來提高周邊安全性。作為回應(yīng)，黑客正在走上防范阻力最小的道路，并尋找新的開發(fā)途徑。許多安全專家認(rèn)為，下一波的黑客攻擊將通過利用應(yīng)用程序編程接口(API)來實現(xiàn)。

[[234705]]

實際上，網(wǎng)絡(luò)攻擊者在計劃攻擊時已經(jīng)瞄準(zhǔn)了API這個目標(biāo)。面包店咖啡連鎖店P(guān)anera Bread公司的數(shù)據(jù)泄露就是一個很好的例子，該公司在其網(wǎng)站上留下了未經(jīng)驗證的API端點，允許任何人查看客戶信息，如用戶名、電子郵件地址、電話號碼、信用卡的最后四位數(shù)字、出生日期等。最終，在8個多月的時間內(nèi)有3700萬客戶數(shù)據(jù)被泄露。這就提出了一個問題：如何最大限度地減少與API相關(guān)的不斷增長的網(wǎng)絡(luò)安全風(fēng)險，而不會妨礙他們在敏捷開發(fā)和擴展功能方面提供的好處。

API在應(yīng)用程序開發(fā)中的應(yīng)用已經(jīng)成為新的事實標(biāo)準(zhǔn)，開發(fā)人員利用從第三方提供的服務(wù)集成功能，而不是從頭構(gòu)建所需的全部功能。這為新產(chǎn)品和服務(wù)提供了更靈活的開發(fā)流程。根據(jù)One Poll公司的調(diào)查研究，每個企業(yè)平均管理363種不同的API，其中這些企業(yè)的三分之二以上(69%)將其API向公眾和他們的合作伙伴開放。開發(fā)人員可以通過搜索諸如API Hound之類的API庫來擴充他們的代碼，API Hound使用機器掃描程序來查找其50,000多個API，或ProgrammableWeb，它維護著世界上最大的人工策略API目錄，現(xiàn)在已超過17,000個。

雖然API支持用戶已經(jīng)習(xí)慣了這種對企業(yè)數(shù)字化轉(zhuǎn)型至關(guān)重要的交互式數(shù)字體驗，但是它們?yōu)楹诳吞峁┝硕鄠€可以訪問企業(yè)數(shù)據(jù)的場所，甚至可能會導(dǎo)致大規(guī)模業(yè)務(wù)中斷。而利用API的常見攻擊方法包括：

• API參數(shù)篡改 - 黑客通常使用這種技術(shù)對API進行反向工程或獲得對敏感數(shù)據(jù)的進一步訪問。
• 會話Cookie篡改 - 這些攻擊嘗試?yán)胏ookie來繞過安全機制或向應(yīng)用程序服務(wù)器發(fā)送錯誤數(shù)據(jù)。
• 中間人攻擊 - 通過竊聽API客戶端和服務(wù)器之間的未加密連接，黑客可以訪問敏感數(shù)據(jù)。
• 內(nèi)容操作 - 通過注入惡意內(nèi)容(例如，中毒JSON Web令牌)，可以在后臺分發(fā)和執(zhí)行漏洞利用程序。
• DDoS攻擊 - 通過發(fā)送無效的輸入?yún)?shù)，可能會使用編寫不佳的代碼來占用計算機資源，從而導(dǎo)致API支持的Web應(yīng)用程序中斷。

為了盡量減少他們對基于API的威脅的暴露程度，組織應(yīng)采取以下預(yù)防措施：

1. 思維安全

不幸的是，DevOps安全(或者現(xiàn)在所稱的DevSecOps )在軟件開發(fā)過程中經(jīng)常被低估，包括確保面向公眾的API。開發(fā)人員需要考慮整個開發(fā)過程中API使用的安全影響，其中包括API可用于惡意目的的方式。

保護API的基本組成部分在于實現(xiàn)可靠的身份驗證和授權(quán)原則。對于API，開發(fā)者通常使用通過外部過程(例如，在注冊API時)或通過單獨的機制(例如，OAuth)獲得的訪問令牌。該令牌與每個請求一起傳遞給API，并在處理請求之前由API進行驗證。

2. 應(yīng)用通用的行業(yè)安全最佳實踐和標(biāo)準(zhǔn)

遵守編碼最佳實踐并密切關(guān)注最常見的API漏洞(例如，SQL/腳本注入和身份驗證漏洞)應(yīng)成為開發(fā)人員和DevSecOps人員的核心最佳實踐。開放Web應(yīng)用程序安全項目(OWASP)是此類信息的良好來源。

3. 通過API網(wǎng)關(guān)進行監(jiān)控

將不同的API存儲在應(yīng)用程序代碼庫中時，API網(wǎng)關(guān)可用于監(jiān)控、分析和限制流量，從而將DDoS攻擊的風(fēng)險降至最低，并執(zhí)行預(yù)設(shè)的安全策略(例如，身份驗證規(guī)則)。One Poll公司表示，80%的組織使用公共云服務(wù)來保護API背后的數(shù)據(jù)，大多數(shù)企業(yè)使用API網(wǎng)關(guān)(63.2%)和Web應(yīng)用防火墻(63.2%)的組合。

采用這些DevSecOps建議可以最大限度地降低與API暴露相關(guān)的安全風(fēng)險，并使應(yīng)用程序免受網(wǎng)絡(luò)安全漏洞的威脅。