當(dāng)企業(yè)考慮API安全性時(shí)��,他們通常關(guān)注于保護(hù)內(nèi)部編寫的API�����。然而�,并非企業(yè)使用的所有API都是內(nèi)部開發(fā)的���,有些是由其他企業(yè)設(shè)計(jì)和開發(fā)的�����。問題是,許多企業(yè)沒有意識(shí)到使用第三方API可能會(huì)使他們的應(yīng)用程序產(chǎn)生安全問題����,例如惡意軟件、數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問�。
第三方API是軟件接口,能夠使企業(yè)在自己的網(wǎng)站或應(yīng)用程序上利用第三方功能或數(shù)據(jù)�。技術(shù)研究和咨詢機(jī)構(gòu)ISG公司的網(wǎng)絡(luò)安全主管Phil Quitugua表示,這些第三方API使開發(fā)人員能夠?qū)⑺麄兊膽?yīng)用程序或系統(tǒng)與外部服務(wù)�����、數(shù)據(jù)或功能集成在一起。
一些市場(chǎng)流行的第三方API包括導(dǎo)航應(yīng)用程序���、社交媒體平臺(tái)和數(shù)字支付處理工具�。DataDome公司的產(chǎn)品副總裁Paul Scanlon表示:“這些API是谷歌公司或Facebook公司等第三方提供的��,讓用戶可以在自己的網(wǎng)站或應(yīng)用程序上訪問他們的數(shù)據(jù)或功能����。每個(gè)人都喜歡采用API�。通過使各種設(shè)備和應(yīng)用程序能夠通過各種通信協(xié)議交換信息,API可以幫助開發(fā)人員更輕松�、更有效地創(chuàng)造出色的用戶體驗(yàn)?��!?/p>
【資料圖】
雖然API得以普及應(yīng)用�����,但存在著安全的致命弱點(diǎn)——根據(jù)Saltsecurity公司發(fā)布的《2023年第一季度API安全狀況》報(bào)告��,在過去的一年中�,大約94%的企業(yè)在生產(chǎn)API中遇到了安全問題,17%的企業(yè)遭遇了API相關(guān)的漏洞�����。因此����,需要確保第三方API安全性。
為什么確保第三方應(yīng)用程序的安全如此重要
NCC集團(tuán)工業(yè)和運(yùn)營(yíng)技術(shù)業(yè)務(wù)總監(jiān)Jim McKenney表示�,第三方API需要強(qiáng)大的安全性,因?yàn)樗鼈兛赡苁侨觞c(diǎn)����。如果它們不安全,可能會(huì)泄露敏感數(shù)據(jù)或?qū)е略架浖霈F(xiàn)問題����。
McKenney說,“API安全保護(hù)程序之間的通信(例如OpenStreetMap的API)免受網(wǎng)絡(luò)威脅���。它可以抵御惡意攻擊�����、未經(jīng)授權(quán)的訪問以及API濫用等新出現(xiàn)的威脅����。API安全確保了應(yīng)用程序之間安全可靠的對(duì)話?���!?/p>
Capgemini公司旗下的Sogeti公司負(fù)責(zé)洞察和數(shù)據(jù)的副總裁Doug Ross表示,第三方API安全涉及實(shí)施認(rèn)證�、授權(quán)、加密和監(jiān)控等措施�,以確保API及其數(shù)據(jù)的隱私、完整性和可用性����。Ross說,“API安全性是軟件開發(fā)的一個(gè)關(guān)鍵方面����,因?yàn)锳PI經(jīng)常充當(dāng)不同系統(tǒng)之間的橋梁���,并且越來越多地用于交換敏感和關(guān)鍵信息�?��!?/p>
出于許多原因����,確保第三方API的安全性至關(guān)重要。一方面�,API可以訪問敏感信息,例如用戶數(shù)據(jù)或支付信息��。因此�����,如果第三方API遭到破壞��,則可能導(dǎo)致數(shù)據(jù)泄露��,從而影響最終用戶和依賴API的業(yè)務(wù)��。此外�����,不安全的API可能會(huì)使應(yīng)用程序或系統(tǒng)暴露于漏洞和攻擊之下�,從而可能導(dǎo)致系統(tǒng)故障或?qū)Y源的不適當(dāng)訪問。
第三方API的安全性在維護(hù)合規(guī)性方面也很重要���,因?yàn)樵S多行業(yè)都有嚴(yán)格的數(shù)據(jù)保護(hù)和隱私法規(guī)�,例如歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)和美國(guó)的《健康保險(xiǎn)流通與責(zé)任法案》。Ross表示���,確保第三方API的安全性有助于企業(yè)遵守這些法規(guī)并避免監(jiān)管機(jī)構(gòu)的處罰���。涉及第三方API的安全漏洞可能會(huì)損害企業(yè)的聲譽(yù),導(dǎo)致客戶信任的喪失���,并可能影響商業(yè)伙伴關(guān)系����。
以下是確保第三方API安全性的五個(gè)最佳實(shí)踐:
(1)維護(hù)包含第三方API的API清單
Bionic公司的安全研究員Jacob Garrison表示�,維護(hù)API清單,使其在代碼變化時(shí)自動(dòng)更新����,這是API安全程序的重要第一步。它應(yīng)該區(qū)分第一方和第三方API���。它還鼓勵(lì)在不通知安全團(tuán)隊(duì)的情況下持續(xù)監(jiān)控影子IT API。
Garrison說:“為了確保企業(yè)的庫(kù)存穩(wěn)健且可操作�,應(yīng)該跟蹤哪些API傳輸關(guān)鍵業(yè)務(wù)信息,例如個(gè)人身份信息和支付卡數(shù)據(jù)?���!彼硎荆珹PI清單是對(duì)第三方風(fēng)險(xiǎn)管理的補(bǔ)充��。當(dāng)開發(fā)人員使用第三方API時(shí)����,考慮供應(yīng)商本身的風(fēng)險(xiǎn)評(píng)估是值得的。
他說���,“例如�,假設(shè)企業(yè)的數(shù)據(jù)工程團(tuán)隊(duì)想要發(fā)送個(gè)人身份數(shù)據(jù)到Tableau進(jìn)行分析�����,在這種情況下����,有必要評(píng)估該供應(yīng)商的安全狀況是否在企業(yè)的風(fēng)險(xiǎn)承受范圍內(nèi)?����!?/p>
Invicti Security公司首席技術(shù)和安全研究主管Frank Catucci也認(rèn)為,包括第三方API的清單是至關(guān)重要的��。
他說:“企業(yè)需要讓第三方API成為其整體API庫(kù)的一部分����,必須把它們視為自己擁有和負(fù)責(zé)的資產(chǎn)。所以��,確保準(zhǔn)確地了解哪些API在哪里運(yùn)行以及它們?cè)谧鍪裁词侵匾牡谝徊?,因?yàn)槿藗儫o法保護(hù)自己看不到的物品?!?/p>(2)調(diào)查第三方API供應(yīng)商
McKenney表示,企業(yè)應(yīng)該選擇具有強(qiáng)大安全措施的信譽(yù)良好的提供商�,監(jiān)控可疑行為的API活動(dòng),并使用加密措施��。例如�,只使用來自可信提供者的支付處理API,定期監(jiān)視API日志中任何異?���;顒?dòng),并確保通過API發(fā)送的所有敏感數(shù)據(jù)都是加密的����。
Lexmark公司的首席信息安全官Bryan Willett表示,對(duì)于第三方來說��,建立供應(yīng)商安全管理流程非常重要��。他說:“這個(gè)過程應(yīng)該與企業(yè)的采購(gòu)過程緊密結(jié)合起來��,這樣所有的供應(yīng)商和合同都要經(jīng)過這個(gè)過程�����。這個(gè)過程應(yīng)該由幾個(gè)子過程組成����,包括供應(yīng)商風(fēng)險(xiǎn)評(píng)估、供應(yīng)商安全評(píng)分��、持續(xù)監(jiān)控以及合同審查��,以確保條款符合企業(yè)的風(fēng)險(xiǎn)承受能力����。”
(3)確保第三方API的供應(yīng)商安全測(cè)試
Willett表示����,重要的是����,企業(yè)要建立供應(yīng)商的通用安全控制�,以及跨第三方API生命周期不同階段的安全控制,以確保適當(dāng)?shù)谋Wo(hù)符合他們的風(fēng)險(xiǎn)承受能力�。
他說:“例如,人們希望看到安全開發(fā)生命周期從培訓(xùn)到整個(gè)交付過程根植于企業(yè)文化中�,以確保從一開始就考慮到安全問題?���!盬illett表示,這些應(yīng)該包括解決由供應(yīng)商開發(fā)的源代碼和產(chǎn)品中包含的開源庫(kù)所產(chǎn)生的風(fēng)險(xiǎn)的實(shí)踐�。
Willett說:“用戶希望看到供應(yīng)商有良好的安全測(cè)試實(shí)踐,使用最新的工具來執(zhí)行靜態(tài)代碼分析����、模糊測(cè)試和漏洞掃描。在運(yùn)營(yíng)領(lǐng)域���,希望看到強(qiáng)有力的變更管理流程的證據(jù)���,對(duì)數(shù)據(jù)進(jìn)行適當(dāng)?shù)脑L問控制,并實(shí)施零信任原則�?!?/p>
供應(yīng)商還應(yīng)該有成熟的漏洞管理程序來監(jiān)控補(bǔ)丁的操作環(huán)境��,并有一個(gè)明確的服務(wù)級(jí)別協(xié)議來確定何時(shí)修補(bǔ)漏洞�。
(4)自己測(cè)試第三方API
Catucci表示即使企業(yè)不編寫第三方API��,也不控制它們�,他們?nèi)匀豢梢韵駵y(cè)試自己的API一樣測(cè)試它們。例如�����,企業(yè)可以使用動(dòng)態(tài)應(yīng)用程序安全測(cè)試功能來掃描第三方API����,以查找已知的漏洞、易受攻擊的組件或可能存在于這些API中的過時(shí)組件���。
他說��,“即使用戶沒有擁有它們��,也必須對(duì)它們進(jìn)行測(cè)試�����,如果發(fā)現(xiàn)第三方API有特定的漏洞����,用戶可以阻止該功能,或者在修復(fù)之前不要使用這個(gè)API�。”
(5)API密鑰的輪換
Willett表示��,另一個(gè)安全考慮是API密鑰的輪換��。當(dāng)用戶調(diào)用第三方API時(shí)����,他們必須為他們的請(qǐng)求提供一個(gè)唯一的字符串,這稱之為密鑰�。這個(gè)字符串告訴供應(yīng)商哪個(gè)客戶正在進(jìn)行呼叫。有兩個(gè)主要原因需要定期輪換密鑰��。
Willett說���,“首先���,惡意行為者攔截用戶的API密鑰,然后他們可以代表生成請(qǐng)求。根據(jù)第三方使用的安全協(xié)議����,這個(gè)密鑰可能足以提取與用戶的帳戶相關(guān)的敏感信息。其次���,第三方API需要支付費(fèi)用�。API密鑰用于計(jì)費(fèi)目的�����。惡意行為者可以使用用戶的密鑰快速觸發(fā)API請(qǐng)求�,從而提高其賬單����。基于這兩個(gè)原因��,API安全程序應(yīng)該包括定期的密鑰輪換�。”
企業(yè)需要保護(hù)API
基于API的網(wǎng)絡(luò)攻擊非常復(fù)雜����,需要同樣強(qiáng)大的防御。此外,ThreatX公司的安全策略總監(jiān)兼首席信息安全官Jeremy Ventura表示�����,現(xiàn)在第三方入侵比以往任何時(shí)候都更加突出�����。
他說:“許多引人注目的安全漏洞(例如Peloton和Nissan)都是由未受保護(hù)的API造成的��。攻擊一些企業(yè)的供應(yīng)鏈對(duì)那些想要進(jìn)入網(wǎng)絡(luò)的網(wǎng)絡(luò)罪犯來說非常有吸引力��?����!?/p>
Ventura指出�����,對(duì)于企業(yè)來說�����,了解第三方API安全威脅不僅僅是一個(gè)IT問題��,而且是一個(gè)影響所有企業(yè)和客戶核心業(yè)務(wù)的至關(guān)重要的問題。
