Küsimus. Kuidas saavad organisatsioonid tagada, et nende API-d on API-põhiste rünnakute suurenemise korral kompromissikindlad?
Rory Blundell, Gravitee asutaja ja tegevjuht: Igas suuruses ja kõigis tööstusharudes olevad ettevõtted toetuvad oma ärivaldkonna rakenduste ühendamiseks regulaarselt sisemistele API-dele ja tarnijate, klientide või partneritega andmete või teenuste jagamiseks välistele API-dele. Kuna ühel API-l võib olla juurdepääs mitmele rakendusele või teenusele, on API ohustamine lihtne viis paljude ärivarade ohustamiseks minimaalse pingutusega.
API-dest on saanud populaarne rünnakute vektor ja API-rünnakute sagedus on hämmastavalt suurenenud 681%, viimaste andmete kohaselt Salt Labsi uuringud. API-de turvamise esimene samm on järgida parimaid tavasid, näiteks neid, mida OWASP soovitab kaitsta tavaliste API turvariskide eest.
IT-ressursside turvalisuse tagamiseks ei piisa aga põhilistest API turbepraktikatest. Ettevõtted peaksid oma API-de kaitsmiseks võtma järgmised lisameetmed.
1. Võtke kasutusele riskipõhine autentimine
Ettevõtted peaksid võtma kasutusele riskipõhised autentimispoliitikad, mis võimaldavad kõrgendatud riski korral turvalisuse kaitset jõustada. Näiteks API-klient, kes on pikka aega esitanud õigustatud päringuid, mis järgivad prognoositavat mustrit, ei pruugi iga päringu puhul läbida sama autentimise taset kui uus klient, kes pole kunagi varem ühendust loonud. Kui aga pikaajalise API kliendi juurdepääsumuster muutub – näiteks kui klient hakkab ootamatult esitama päringuid teiselt IP-aadressilt –, oleks rangema autentimise nõudmine nutikas viis tagada, et päringud ei pärine ohustatud kliendilt.
2. Lisage biomeetriline autentimine
Kuigi märgid on endiselt olulised klientide ja taotluste autentimise põhivahendina, on need saab varastada. Sel põhjusel on märgipõhise autentimise sidumine biomeetrilise autentimisega nutikas viis API turvalisuse suurendamiseks. Selle asemel, et eeldada, et igaüks, kellel on API-märk, on kehtiv kasutaja, peaksid arendajad kavandama rakendused nii, et kasutajad peavad vähemalt suurema riskiga kontekstides autentima ka sõrmejälgede, näo skaneerimise või muu sarnase meetodi abil.
3. Jõustage autentimine väliselt
Mida keerulisemaks teie API autentimisskeemid muutuvad, seda raskem on teie rakenduses endas turbenõudeid jõustada. Sel põhjusel peaksid arendajad püüdma lahti siduda API turbereeglid rakendusloogikast ja kasutama turvanõuete jõustamiseks väliseid tööriistu, nagu API lüüsid. See lähenemisviis muudab API turbepoliitikad skaleeritavamaks ja paindlikumaks, kuna neid saab hõlpsasti rakendada ja värskendada API lüüsides, pigem rakenduse lähtekoodi kaudu. Ja mis kõige tähtsam, see võimaldab teil rakendada erinevatele kasutajatele või taotlustele erinevaid reegleid, mis põhinevad erinevatel riskiprofiilidel.
4. Tasakaalustage API turvalisus kasutatavusega
Oluline on mitte lasta turvalisusel muutuda kasutatavuse vaenlaseks. Kui muudate API autentimismeetmed liiga pealetükkivaks või koormavaks, võivad kasutajad teie API-d hüljata, mis on vastupidine sellele, mida soovite. Vältige seda, tagades, et API turbereeglid on ranged, kui neil on põhjust, kuid ilma tarbetuid nõudeid kehtestamata.
API-sid sihtivad rünnakud ei näita märke aeglustumisest. API-de kujundamisel ja turvalisuse tagamisel peaksid arendajad ületama OWASP-i soovitusi, et muuta API kasutamine raskemaks.
