资讯中心

API成为企业黑客攻击目标,你的API还安全吗?

有人的地方就有江湖,网络上的江湖更是让人摸不着头脑。黑客这个词是随着网络时代的出现而进入大众视野的,随着网络时代的发展,网络江湖也越演越烈,企业网络成为了黑客们最主要的攻击对象。为此很多公司企业纷纷购入防火墙技术、数据及终端防护、入侵预防技术等强化升级自身边界安全。但是,哪怕企业筑起的围墙再高再厚,也还是有人会被攻击。于是有人说黑客才是最高级的程序员,你以为你够先进了,但是他才是创造先进的那一个。所以演变到至今API经济崛起,网络黑客们也把算盘打到了API上。


事实上,Panera Bread 数据泄露事件就是一个典型的黑客攻击API的例子。这家烘焙连锁店的网站上开放了一个未经验证的API终端,任何人都可以通过该API查看其客户信息,比如用户名、邮箱地址、电话号码、信用卡后四位、生日等等。结果仅仅是8个月的时间,该公司3700万客户数据被完全泄露,引起巨大社会舆论。一些已经开放了API的公司因此感到恐慌,生怕下一个被攻击的就是自己。

如今,应用程序开发中API使用已成为一项标准,通过集成第三方服务的功能,开发人员不用再从无到有自己构建所有功能,同时还能加快新产品及服务的开发过程。据相关调查显示,目前公司企业平均管理着363个API,其中69%的公司会向公众及其合作伙伴开放这些API。开发人员可以通过搜索API库来增强其代码。尽管API支撑着用户早已习惯的互动式数字体验,是公司数字化转型的基础,但它们同时也为恶意黑客提供了访问公司数据的多种途径,甚至能被用于引发大范围业务中断。


所以减少企业API威胁风险是企业的当务之急,“赛合一数据”总结了以下几个措施共大家参考:

1.通过API网关进行监视

将独立的API集中存储到应用代码库中,就可用API网关来监视、分析和限制流量,最小化DDoS风险,实现预设的安全策略(例如身份验证规则)。据了解80%的公司企业使用公共云服务保护他们API背后的数据,63.2%公司综合使用API网关,而63.2%使用Web应用防火墙。

2.安全思维贯彻开发过程始终

开发人员需在整个开发过程中考虑API使用的安全影响,多想想API会在哪些方面被用于恶意目的。API安全的基础在于实现可靠的身份验证和授权原则。开发人员常会使用来自外部过程的访问凭证,或通过单独的机制来访问API。凭证随每次访问请求发送给API,API在处理请求之前先验证凭证的有效性。

3.应用行业安全最佳实践和标准

应用编码最佳实践并密切关注常见API漏洞(例如SQL/脚本注入和身份验证漏洞),应成为开发人员和DevSecOps人员的核心最佳操作。编码最佳实践和常见API漏洞信息可在开放Web应用安全计划(OWASP)中找到。

以上方法基本通用于企业的API风险把控,当然具体情况可能需要具体分析,但“赛合一数据”作为拥有11年行业积累的API接口开发平台可以很负责地说,采用以上这些方法可以最小化与API暴露相关的安全风险,让应用程序免受网络安全事件侵害。