API NEWS | 憑證泄漏導致API漏洞上升

憑證泄漏導致API漏洞上升

一篇來自Security Week的文章，討論憑證泄漏導致的API漏洞不斷增長。最近的一項調查發現，超過一半的美國專業人士曾遭受過API漏洞，但77％人認為他們的組織有效地管理了API令牌。這聽起來有點矛盾，因為很多專業人士對他們的憑證管理很有信心，但還是會發生憑證相關的API漏洞情況。

研究結果表明，這種明顯的矛盾背后有三個主要原因：

1. 缺乏對現有API組合的可視性；
2. 使用的API數量太多難以跟蹤；
3. 低估了管理API憑證所需的時間和精力。

這項調查還衡量了憑證管理的成本，并發現大多數受訪者每周花費超過15小時來管理憑證。這一數字可能并不完全準確，但可以看出憑證管理成本的不斷上升。問題將只會加劇，因為API擴散不斷增加，構建環境變得更加分散，需要更多的憑證分發和管理。面對這些挑戰，組織只能選擇忽略問題或投入更多的金錢來解決憑證管理所帶來的問題。

Corsha公司提出可以緩解這種情況的解決方案，就是為API提供多因素認證（MFA）。

這種解決方案有三個優點：

1. 可以進行微段隔離，防止網絡中的橫向傳播；
2. 降低MFA疲勞的風險；
3. 消除憑證輪換問題，因為盜竊或泄漏的憑證無法在滿足MFA要求之前使用。

小闌認為：

隨著API數量的不斷增加以及對API安全性的增強需求，MFA將成為一個不可或缺的安全措施。同時，還需要考慮到人工智能和自動化技術等方面的發展，以便找到更好的方法來管理API憑證，并確保API的安全。

另外，MFA疲勞攻擊是一種嚴重的安全威脅，可以通過使用自動化工具對受保護的帳戶進行多次MFA嘗試來實施。攻擊者可能會竊取敏感信息或執行其他不良行為，從而對組織的安全和業務流程造成影響。為了防范MFA疲勞攻擊，組織可以采用多種策略，例如使用MFA應用程序、設置帳戶鎖定策略、使用機器學習技術、增加MFA代碼的復雜度以及加強身份驗證。通過采取這些措施，組織可以更好地保護其用戶和敏感數據，并提高安全性。

你的API網關有多安全？

這是一篇來自The New Stack的文章，深入討論了API網關安全的重要性。作者認為，由于API網關是基礎設施中如此關鍵的一部分，負責部署網關的人必須充分考慮網關本身的安全性。由于它們與組織基礎設施的緊密耦合，API網關很少被更改，這使得選擇網關時安全性成為首要考慮因素。

文章提出有四個因素對API網關整體安全性產生影響：

1. API網關一般是在開源實現和私有源代碼之上構建的。因此，企業需要使用現代軟件材料清單（SBOM）技術來管理整個軟件堆棧中的漏洞，以便更好地了解API網關的風險。
2. 除此之外，還需要考慮API網關如何與其他安全防護措施（如Web應用程序防火墻、全局防火墻和負載均衡器、監控平臺）集成。這種緊密集成對于保證應用程序的高性能非常重要，并且需要盡量減少在部署混合多云環境時對操作團隊的影響。
3. 大型企業應該考慮在整個組織中執行相同的策略可能會遇到的問題，特別是當技術堆棧非常異構的時候。這會導致不同反向代理以不同方式實現相同的策略，從而導致微妙但重要的差異。這種時候的解決方法是，確保在購買前進行徹底的概念驗證（PoC）。
4. 最后需要特別關注API網關的速度（延遲），這對長期使用和其安全性至關重要。如果選擇的API網關性能不佳，那么API團隊最終會尋求調整策略，甚至在極端情況下完全繞過API網關。因此，API的性能通常是API網關成功的關鍵因素之一。

小闌解讀：

API網關的訪問控制通常以身份驗證機制開始，以便確認調用的來源。目前，最受歡迎的網關驗證協議是OAuth，它充當訪問基于Web的資源的代理而不向服務公開密碼，基于密鑰的身份驗證在用于企業時，也有丟失數據的案例，還不能百分之百保證密鑰完全保密。

API網關的優勢：

1. 在統一的位置管理和實施；
2. 將大部分問題外部化，因此簡化了API源代碼；
3. 提供API的管理中心和視圖，更方便采用一致的策略；

API網關的缺點：

1. 容易出現單點故障或瓶頸；
2. 由于所有API規則都在一個位置，因此存在復雜性風險；
3. 被鎖定的風險，日后系統遷移并不簡單。

安全性是公司首要考慮基礎架構中投入的頭號關注點。但是，它也是現有API開發者最容易忽視的領域。因為很多公司正在自己構建API作為產品，以部署Web，移動客戶端，物聯網和其它應用程序，在整個過程中的每一步都須正確保護，API網關是最有效的解決方案之一。

PCI DSS 4.0對API安全的影響

PCI DSS標準是指支付卡行業數據安全標準（Payment Card Industry Data Security Standard），是由VISA、MasterCard、Discover、JCB和American Express等信用卡品牌共同制定的數據安全標準，旨在確保有關交易的處理和存儲數據安全。任何處理信用卡支付的機構都必須遵守該標準。PCI DSS標準包括一些規則和要求，以確保對客戶付款信息的保護，防止數據泄漏和欺詐行為。

最新版本4.0為軟件的安全開發和部署提供了具體條款，文章探討這些條款對API開發人員可能產生的影響。以下是與軟件開發和部署相關的關鍵條款：

1. 6.2 – Bespoke and custom software are developed securely.

這是采用安全SDLC或采用“左移”開發的指導。對于API開發，開發人員必須盡早了解安全需求，并在整個生命周期中使用安全開發方法。

1. 6.2.3 – Bespoke and custom software is reviewed prior to being released into production or to customers, to identify and correct potential coding vulnerabilities.

該條款指導開發人員使用代碼審核（包括OAS定義和API代碼）來確保盡可能大程度上減少編碼漏洞。這些審核可以在開發生命周期的各個階段自動進行。

1. 6.2.4 – Software engineering techniques or other methods are defined and in use by software development personnel to prevent or mitigate common software attacks and related vulnerabilities in bespoke and custom software.

在API上下文中，該控件指示使用高級測試方法來識別針對API的各種軟件攻擊。建議的最佳實踐是使用特定的API測試來檢測眾所周知的漏洞類型（如損壞的對象級別授權和損壞的身份驗證），主要是使用自動化測試（專用的API安全掃描工具）或通過定制滲透測試。

1. 6.4 Public-facing web applications are protected against attacks.

該標準規定應保護面向公眾的API免受攻擊，通常通過API網關或專用API防火墻。

小闌認為：

API安全的重要性不言自明，它涉及到數據和信息的保護、合規性以及競爭優勢等多個方面，是每個企業在數字化轉型過程中必須認真對待和加強的重要環節。隨著數字化與智能化進程的加速推進，API成為不同系統、應用和數據的粘合劑，承擔著越來越多的業務功能。而這些業務功能往往包括金融交易數據、個人信息等涉及個人隱私和商業機密的數據。因此，確保API的安全性不僅是企業信息安全管理的重要一環，更是整個數字時代信息安全和隱私保護的基石。