Spørgsmål: Hvordan kan organisationer sikre, at deres API'er er modstandsdygtige over for kompromiser i lyset af øgede API-baserede angreb?
Rory Blundell, grundlægger og administrerende direktør for Gravitee: Virksomheder i alle størrelser og på tværs af alle brancher er rutinemæssigt afhængige af interne API'er til at forene deres branche-apps, og på eksterne API'er til at dele data eller tjenester med leverandører, kunder eller partnere. Fordi en enkelt API kan have adgang til flere applikationer eller tjenester, er kompromittering af API'en en nem måde at kompromittere et bredt sæt af forretningsaktiver med minimal indsats.
API'er er blevet en populær angrebsvektor, og hyppigheden af API-angreb er steget med en forbløffende 681 %, ifølge nyere forskning fra Salt Labs. Det første trin i at sikre dine API'er er at følge bedste praksis, såsom dem, som OWASP anbefaler at beskytte mod almindelige API-sikkerhedsrisici.
Grundlæggende API-sikkerhedspraksis er dog ikke nok til at holde it-ressourcer sikre. Virksomheder bør tage følgende yderligere trin for at beskytte deres API'er.
1. Adopter risikobaseret godkendelse
Virksomheder bør vedtage risikobaserede autentificeringspolitikker, som gør det muligt at håndhæve sikkerhedsbeskyttelse i tilfælde af øget risiko. For eksempel behøver en API-klient med en lang erfaring med at udstede legitime anmodninger, der følger et forudsigeligt mønster, muligvis ikke gennemgå det samme niveau af godkendelse for hver anmodning som en ny klient, der aldrig har oprettet forbindelse før. Men hvis den langvarige API-klients adgangsmønster ændrer sig - hvis for eksempel klienten pludselig begynder at udstede anmodninger fra en anden IP-adresse - ville det være en smart måde at sikre, at anmodningerne ikke kommer fra en kompromitteret klient, at kræve mere streng autentificering.
2. Tilføj biometrisk godkendelse
Selvom tokens fortsat er vigtige som et grundlæggende middel til autentificering af klienter og anmodninger, er de kan blive stjålet. Af den grund er kobling af token-baseret godkendelse med biometrisk godkendelse en smart måde at forbedre API-sikkerheden på. I stedet for at antage, at enhver, der besidder et API-token, er en gyldig bruger, bør udviklere designe applikationer, så brugere også skal autentificere ved hjælp af fingeraftryk, ansigtsscanninger eller en lignende metode, i det mindste i højere risikosammenhænge.
3. Håndhæv godkendelse eksternt
Jo mere komplekse dine API-godkendelsesskemaer bliver, jo sværere er det at håndhæve sikkerhedskravene i selve din applikation. Af den grund bør udviklere stræbe efter at afkoble API-sikkerhedsregler fra applikationslogik og i stedet bruge eksterne værktøjer, såsom API-gateways, til at håndhæve sikkerhedskrav. Denne tilgang gør API-sikkerhedspolitikker mere skalerbare og fleksible, fordi de nemt kan implementeres og opdateres inden for API-gateways, snarere gennem applikationens kildekode. Og vigtigst af alt, det lader dig anvende forskellige regler på forskellige brugere eller anmodninger baseret på forskellige risikoprofiler.
4. Balancer API-sikkerhed med brugervenlighed
Det er vigtigt ikke at lade sikkerhed blive brugervenlighedens fjende. Hvis du gør API-godkendelsesforanstaltninger for påtrængende eller byrdefulde, kan dine brugere forlade dine API'er, hvilket er det modsatte af, hvad du ønsker skal ske. Undgå dette ved at sikre, at API-sikkerhedsregler er strenge, når der er en grund til det, men uden at stille unødvendige krav.
Angreb rettet mod API'er viser ingen tegn på at blive langsommere. Når udviklere designer og sikrer API'er, bør udviklere gå ud over OWASP-anbefalinger for at gøre det sværere at udnytte API'en.
