应用程序编程接口(API)已成为网络、应用程序、设备以及计算环境中几乎所有层面的关键组成部分,其对于云计算和移动计算来说更是如此,如果没有API衔接前后、没有API管理大部分后端功能,那这两种计算都不可能以当前的形式而存在。
由于API的可靠性和简化性,API在整个计算环境中变得无处不在,大多数组织甚至不知道有多少API在其网络中运行,尤其是在云环境里。在规模较大的公司里,可能同时有数千个API在工作,而在规模相对较小的公司里,他们所依赖的API一般也比他们意识到的要多。
尽管API十分重要,但对它们的使用同时也带来了一定的危险。由于API所创建的标准很少,而且这些标准大多是唯一的,因此在API上出现可利用漏洞的情况并不罕见,不法分子认为,攻击API通常比直接攻击系统、数据库、应用程序或网络要容易得多。API一旦被破坏,就很容易去改变相关功能,这使得API成为了黑客最容易得手的攻击路径。API的另一大危险是它们总是被过度许可。程序员会给予API很高的权限,这样就可以在不中断的情况下执行相关功能。而如果攻击者破坏了API,那么他们就可以使用这些高权限来实施其他行为,这就好像得到了管理员的帐户一样,攻击者系统内将畅通无阻。Akamai的研究表明,这是一件非常严重的事,针对API的攻击占全球所有凭证窃取尝试的75%,攻击者知道API易受攻击又无处不在,所以他们正到处寻找它们。考虑到API黑客问题,近年来API安全工具的数量也在激增,市场上有几十种安全工具旨在保护API,除此之外还有数百种免费开源的API。许多网络安全程序之间有着相似之处,它们也可以专门为API的独特性质去配置。总的来说,API安全工具可以分为以下几类,其中有些工具提供了完整的平台,可以同时完成所有任务。当下最流行的是那些保护API免受恶意请求的工具,有点类似于API防火墙,其他工具旨在通过动态访问和评估特定API以查找漏洞,从而使代码能够抵御攻击。当然,也有一部分人只是简单地扫描一下IT环境,看他们的网络里存在多少API就算完事,因为他们至少觉得没有人可以保护连他们自己都不知道的东西。考虑到API安全工具的数量问题,因此很难编制出一份完整的API工具列表,但综合用户的评论,一些工具开始逐渐脱颖而出。以下是一些可以帮助增强API安全性的工具,以及它们的优势和功能。作为最流行的API安全工具之一,APIsec完全是自动化的,因此对于那些刚开始改进API安全的组织来说非常完美,在已经拥有API的生产环境中,APIsec可对其进行扫描,并针对常见漏洞(如脚本注入攻击)进行测试。同时APIsec会对每个API进行全面的压力测试,以确保系统能够抵御业务流程攻击等不易检测的威胁,APIsec一旦发现问题会自动标记,并为安全分析人员提供详细的结果。在创建API时,开发人员也可以主动使用APIsec,这样任何漏洞都可以在API上线之前被消除,APIsec会在API部署后持续监视,以防万一。Astra是免费的工具,用户需要从GitHub上获取它并将其安装在自己的环境里,该工具在管理和保护特定类型的API上享有盛誉。Astra主要用于保护代表性状态转移(REST)API,因为这些API经常发生变化,所以测试和保护它们非常困难。Astra通过整合组织的持续集成和持续交付(CI/CD)管道来提供帮助,它确保了最常影响API的漏洞不会随着其功能的不断变化而重新回到REST API中。AppKnox以支持其用户群而闻名。该平台最初有个非常易于使用的界面,该公司在部署和使用它时提供了很多帮助。AppKnox已被许多拥有小型安全团队的组织所使用,因为它支持以最有限的资源去添加各种API安全工具。一旦安装,AppKnox将测试API中的常见问题,如HTTP请求漏洞、SQL注入漏洞等。它还会扫描所有与API连接的资源,以确保它们不会成为黑客的攻击路径。Cesequence统一API保护平台专为企业环境而设计。企业环境每天可能需要处理对数十亿条API请求,而可扩展的保护平台首先会检测组织内的所有API,然后将它们归档到一个广泛的目录中,之后平台会对API进行一般的漏洞测试,当然安全团队也可以根据需要对API组执行特定测试。这样的过程不仅有助于保护API,而且还能帮助企业遵守法律法规。除此之外,Cequent的平台重点是能够设置自动保护以应对攻击,同时它还可在与API进行可疑交互时采取行动,由于Cesequence平台自己能处理这些安全问题,所以不需要包括防火墙之类的外部安全设备来激活保护,这样也就减轻了外围设备的负载,并能加快响应时间,从而使得API在瞬间就能免受实时威胁。Data Theorem API Secure可以清点网络、云、应用程序或任何其他目标中存在的API。对于那些希望加强API安全,但不知道从哪里开始,甚至不知道使用了多少API的组织来说,这是一个很好的选择。API Secure还能保持API库存处在最新状态,并能在部署时快速查找到新的API,一旦找到,API Secure将像黑客一样测试每个API的漏洞,之后它会标记该API,供企业自行检查或自动修复。Salt Security API保护平台非常先进,它是最早利用人工智能来检测、阻止针对API威胁的平台之一。该平台能收集整个网络上的API流量,并能分析对API的调用以及它们的响应,之后它会将本地看到的数据与存储在云里大数据引擎中的交通数据进行比较,这样它便能阻止大多数攻击并发出各种可疑警报,安全团队可根据设置采取行动。而随着时间的推移,该平台会不断学习,它检查API网络的时间也就越长,在确定特定网络上的可接受行为时也就越准确。Noname Security在大型公司中享有良好声誉,据报道,《财富》500强中有20%的公司使用了它。它旨在分析API移动流量数据,这些分析超越了某些平台提供的标准API漏洞检查保护,同时还能利用人工智能来寻找恶意活动。Noname Security支持在测试中使用通用和非标准API。例如,它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API,它甚至可以查找、编录和保护不受API网关管理的API,或不遵循任何标准协议的本地API。专注于开发环境,Smartbear ReadyAPI不仅可以用于测试API在构建时的安全漏洞,还可以监控其性能。通过这种方式,开发人员可以看到,如果API遇到非常大的数据量时会发生什么,这也可能是个安全问题。作为测试的一部分,用户可以配置在开发过程中向API发送各种流量,ReadyAPI可以捕获组织网络中的真实流量,然后将其用于非常真实的测试。ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。Wallarm端到端API安全平台更多会在API驻留的云原生环境中工作,但它也可以用于保护存在于prem设备中的API。它旨在防止任何针对API的威胁,从开放Web应用程序安全项目(OWASP)顶级漏洞列表上的威胁到通常针对API的特定威胁(如凭据填充),全都能防止。Wallarm还可以帮助减轻分布式拒绝服务(DDOS)攻击和侦察入侵,连AI发起的直接攻击也能防御。考虑到当今互联网上的大部分流量都是由AI发起的,所以这是一个很好的安全工具。该平台还基于用户流量深入了解、概述了组织的整个API组合,这不仅可以深入了解安全性,还可以深入了解组织是如何使用API的,以及哪些领域需要改进。
在线申请SSL证书行业最低 =>立即申请
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/