RSA – API'er, din organisations dedikerede bagdøre

I hastværket med at integrere tillader disse let forsvarede computer-til-computer-portaler hurtig dataoverførsel mellem systemer for at berige og vise data på tværs af dit digitale stof. Men den let forsvarede del kan tillade omfattende støvsugning af data ved at omvendt manipulere API-detaljerne og starte sifonen. Fordi en API-baseret dataoverførsel er så hurtig, er der kun lidt tid til at forhindre, at meget dårlige ting sker hurtigt.

Her på RSA-konference, har adskillige sessioner og leverandører forsøgt at få os til at vikle vores hoveder rundt om, hvordan man lukker disse ofte dårligt sikrede digitale huller.

For at beskytte dine API'er skal du finde deres sårbarheder, før de skurke gør det. Endnu en gang bruges de samme værktøjer af både angriber og forsvarer. Forskellen er, at du er langt mere tilbøjelig til at blive underrettet, hvis din webapp har et sikkerhedsproblem end din offentligt vendte API, selvom sidstnævnte kan gøre mindst lige så meget skade.

Selvom der er en vis overlapning med traditionel webapplikationstest, virker API'er anderledes og forventer forskellige former for spørgsmål og svar til stede i maskine-til-maskine applikationer, der er så udbredt i disse dage.

For eksempel forventer API'er blokke af strukturerede data, der passer til en interoperabel standard, der er let fordøjelig af andre computersystemer. De forventer også struktureret håndtryk-godkendelse mellem computere, eller nogle gange lidt godkendelse overhovedet.

En eftertanke

I et rum fyldt med RSA-deltagere med masser af API'er derude, da de blev spurgt, hvor mange vidste, at de fuldt ud havde sikret dem alle, var der en generel vandrende til døren for at ringe til sikkerhedsteamet. Sådan går det.

På "fix og test, mens du bygger det"-siden af ​​ligningen, en sælger foreslår at bage i API dynamisk test under softwareudviklingscyklussen, før noget bliver implementeret. Med en smart Docker-container kan du rulle ud, der ser hver API-iteration, dine udviklere arbejder på, og tester dem, mens du går, det er en god måde at have tillid til, at du ikke utilsigtet bygger den næstbedste bagdør.

Hvordan finder de onde usikre API'er? Ganske ofte bare at læse dokumentationen. Indbygget i standard API-grænseflader er en fil, der på en måde danner en bibliotekstjeneste, der beskriver alle de steder, du kan lede efter hemmelige ting. På denne måde kan scannere automatisere rekursiv sondering for at slurpe data.

API'er står heller ikke kun over for offentlige netværk – de sidder ofte i kernen af ​​en virksomhed, og handler stille og roligt med "betroede" informationer som statistikker om HVAC-systemer til bygningen, men tilbyder også muligheder for lateral bevægelse, når skurke bryder ind i dit netværk. Leverandører indser, at deres produkt kun er én del af det digitale landskab i en organisation, og de skal være i stand til at integrere med andre, så de udruller en API for at tale pænt med resten af ​​de implementerede teknologier.

Dette betyder også, at interne sikkerhedsteam vender mere naturligt tiltro til denne form for trafik. Men det er præcis den slags adgang, ransomware-forfattere ville elske at få.

Også, da sværme af IoT-enheder drysses rundt i virksomheden i disse dage, åbner disse enheder API'er for ting som softwareopdateringer, datafeeds og rapporteringsfunktioner til andre noder. På denne måde kan man få fodfæste gennem en sårbarhed, der kan give dårlige skuespillere mulighed for at begynde at hoppe fra enhed til enhed.

Den hurtige udbredelse af API-opkald fra sværme af virksomhedsprodukter repræsenterer en helt ny måde at tænke på, hvad der skal sikres, og at ignorere den meget reelle, ofte ubemærkede angrebsoverflade, risikerer at blive pumpet i vognladninger bagved, enorme mængder af data. front- eller sidedør med kort tid til at bemærke og mindre tid til at reagere.