Ερώτηση: Πώς μπορούν οι οργανισμοί να διασφαλίσουν ότι τα API τους είναι ανθεκτικά σε συμβιβασμούς, ενόψει των αυξημένων επιθέσεων που βασίζονται σε API;
Rory Blundell, ιδρυτής και διευθύνων σύμβουλος της Gravitee: Οι επιχειρήσεις όλων των μεγεθών και σε όλους τους κλάδους βασίζονται συνήθως σε εσωτερικά API για να ενοποιήσουν τις επιχειρηματικές εφαρμογές τους και σε εξωτερικά API για να μοιράζονται δεδομένα ή υπηρεσίες με προμηθευτές, πελάτες ή συνεργάτες. Επειδή ένα μεμονωμένο API μπορεί να έχει πρόσβαση σε πολλές εφαρμογές ή υπηρεσίες, η παραβίαση του API είναι ένας εύκολος τρόπος για να παραβιάσεις ένα ευρύ σύνολο επιχειρηματικών περιουσιακών στοιχείων με ελάχιστη προσπάθεια.
Τα API έχουν γίνει ένας δημοφιλής φορέας επιθέσεων και η συχνότητα των επιθέσεων API έχει αυξηθεί εκπληκτικά 681%, σύμφωνα με πρόσφατα έρευνα από Salt Labs. Το πρώτο βήμα για τη διασφάλιση των API σας είναι να ακολουθήσετε τις βέλτιστες πρακτικές, όπως αυτές του OWASP συνιστά την προστασία από κοινούς κινδύνους ασφαλείας API.
Ωστόσο, οι βασικές πρακτικές ασφάλειας API δεν επαρκούν για να διατηρήσουν τους πόρους IT ασφαλείς. Οι επιχειρήσεις θα πρέπει να λάβουν τα ακόλουθα πρόσθετα βήματα για την προστασία των API τους.
1. Υιοθετήστε τον έλεγχο ταυτότητας βάσει κινδύνου
Οι επιχειρήσεις θα πρέπει να υιοθετούν πολιτικές ελέγχου ταυτότητας βάσει κινδύνου, οι οποίες επιτρέπουν την επιβολή προστασιών ασφαλείας σε περιπτώσεις αυξημένου κινδύνου. Για παράδειγμα, ένας πελάτης API με μακρά ιστορία έκδοσης νόμιμων αιτημάτων που ακολουθούν ένα προβλέψιμο μοτίβο ενδέχεται να μην χρειάζεται να περάσει από το ίδιο επίπεδο ελέγχου ταυτότητας για κάθε αίτημα με έναν νέο πελάτη που δεν έχει συνδεθεί ποτέ στο παρελθόν. Αλλά αν αλλάξει το μοτίβο πρόσβασης του πελάτη API για μεγάλο χρονικό διάστημα — εάν, για παράδειγμα, ο πελάτης αρχίσει ξαφνικά να εκδίδει αιτήματα από διαφορετική διεύθυνση IP — η απαίτηση πιο αυστηρού ελέγχου ταυτότητας θα ήταν ένας έξυπνος τρόπος για να διασφαλιστεί ότι τα αιτήματα δεν προέρχονται από έναν παραβιασμένο πελάτη.
2. Προσθέστε βιομετρικό έλεγχο ταυτότητας
Παρόλο που τα διακριτικά παραμένουν σημαντικά ως βασικό μέσο ελέγχου ταυτότητας πελατών και αιτημάτων, αυτά μπορεί να κλαπεί. Για αυτόν τον λόγο, η σύζευξη του ελέγχου ταυτότητας που βασίζεται σε διακριτικά με τον βιομετρικό έλεγχο ταυτότητας είναι ένας έξυπνος τρόπος για τη βελτίωση της ασφάλειας API. Αντί να υποθέσουμε ότι οποιοσδήποτε διαθέτει διακριτικό API είναι έγκυρος χρήστης, οι προγραμματιστές θα πρέπει να σχεδιάσουν εφαρμογές έτσι ώστε οι χρήστες να πρέπει επίσης να ελέγχουν την ταυτότητα χρησιμοποιώντας δακτυλικά αποτυπώματα, σαρώσεις προσώπου ή παρόμοια μέθοδο, τουλάχιστον σε περιβάλλοντα υψηλότερου κινδύνου.
3. Επιβολή ελέγχου ταυτότητας εξωτερικά
Όσο πιο πολύπλοκα γίνονται τα σχήματα ελέγχου ταυτότητας API, τόσο πιο δύσκολο είναι να επιβάλλετε απαιτήσεις ασφαλείας στην ίδια την εφαρμογή σας. Για αυτόν τον λόγο, οι προγραμματιστές θα πρέπει να προσπαθήσουν να αποσυνδέσουν τους κανόνες ασφαλείας API από τη λογική της εφαρμογής και αντ' αυτού να χρησιμοποιούν εξωτερικά εργαλεία, όπως πύλες API, για την επιβολή των απαιτήσεων ασφαλείας. Αυτή η προσέγγιση καθιστά τις πολιτικές ασφαλείας API πιο επεκτάσιμες και ευέλικτες, επειδή μπορούν εύκολα να εφαρμοστούν και να ενημερωθούν μέσα στις πύλες API, αντί μέσω του πηγαίου κώδικα εφαρμογής. Και το πιο σημαντικό, σας επιτρέπει να εφαρμόζετε διαφορετικούς κανόνες σε διαφορετικούς χρήστες ή αιτήματα που βασίζονται σε διαφορετικά προφίλ κινδύνου.
4. Ισορροπήστε την ασφάλεια API με τη χρηστικότητα
Είναι σημαντικό να μην αφήσετε την ασφάλεια να γίνει ο εχθρός της χρηστικότητας. Εάν κάνετε τα μέτρα ελέγχου ταυτότητας API πολύ παρεμβατικά ή επαχθή, οι χρήστες σας ενδέχεται να εγκαταλείψουν τα API σας, κάτι που είναι το αντίθετο από αυτό που θέλετε να συμβεί. Αποφύγετε αυτό διασφαλίζοντας ότι οι κανόνες ασφαλείας API είναι αυστηροί όταν υπάρχει λόγος, αλλά χωρίς να επιβάλλετε περιττές απαιτήσεις.
Οι επιθέσεις που στοχεύουν API δεν δείχνουν σημάδια επιβράδυνσης. Κατά το σχεδιασμό και την ασφάλεια των API, οι προγραμματιστές θα πρέπει να υπερβαίνουν τις συστάσεις του OWASP για να κάνουν πιο δύσκολη την εκμετάλλευση του API.
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
