Mitä tapoja tehdä API:ista turvallisempia?

Kysymys: Kuinka organisaatiot voivat varmistaa, että niiden API-liittymät kestävät kompromisseja, kun API-pohjaiset hyökkäykset lisääntyvät?

Rory Blundell, Graviteen perustaja ja toimitusjohtaja: Kaikenkokoiset ja kaikilla toimialoilla toimivat yritykset luottavat rutiininomaisesti sisäisiin sovellusliittymiin yhdistääkseen liiketoiminta-alueensa sovelluksensa ja ulkoisiin sovellusliittymiin jakaakseen tietoja tai palveluita toimittajien, asiakkaiden tai kumppaneiden kanssa. Koska yhdellä sovellusliittymällä voi olla pääsy useisiin sovelluksiin tai palveluihin, API:n vaarantaminen on helppo tapa vaarantaa laaja joukko liiketoimintaresursseja vähällä vaivalla.

API-liittymistä on tullut suosittu hyökkäysvektori, ja API-hyökkäysten tiheys on kasvanut hämmästyttävän paljon 681%, viimeaikaisten tietojen mukaan Salt Labsin tutkimus. Ensimmäinen askel sovellusliittymien turvaamisessa on noudattaa parhaita käytäntöjä, kuten OWASP-käytäntöjä suosittelee suojaamaan yleisiltä API-tietoturvariskeiltä.

Sovellusliittymän perusturvakäytännöt eivät kuitenkaan riitä pitämään IT-resurssit turvassa. Yritysten tulee suorittaa seuraavat lisätoimenpiteet sovellusliittymiensä suojaamiseksi.

1. Ota käyttöön riskiin perustuva todennus

Yritysten tulee omaksua riskiperusteiset todennuskäytännöt, jotka mahdollistavat suojauksen tehostamisen kohonneen riskin tapauksissa. Esimerkiksi API-asiakkaan, jolla on pitkä aikaisemmat oikeutetut pyynnöt, jotka noudattavat ennustettavaa mallia, ei välttämättä tarvitse käydä läpi samaa todennustasoa jokaiselle pyynnölle kuin uuden asiakkaan, joka ei ole koskaan aiemmin muodostanut yhteyttä. Mutta jos pitkäaikaisen API-asiakkaan pääsymalli muuttuu – jos esimerkiksi asiakas alkaa yhtäkkiä lähettää pyyntöjä eri IP-osoitteesta – tiukemman todennuksen vaatiminen olisi fiksu tapa varmistaa, että pyynnöt eivät tule vaarantuneelta asiakkaalta.

2. Lisää biometrinen todennus

Vaikka tunnukset ovat edelleen tärkeitä asiakkaiden ja pyyntöjen todentamisen peruskeinoina, ne voidaan varastaa. Tästä syystä merkkipohjaisen todennuksen yhdistäminen biometriseen todentamiseen on älykäs tapa parantaa API-turvallisuutta. Sen sijaan, että olettaisi, että jokainen, jolla on API-tunnus, on kelvollinen käyttäjä, kehittäjien tulisi suunnitella sovellukset siten, että käyttäjien on myös todennetaan sormenjälkien, kasvojen skannauksen tai vastaavan menetelmän avulla, ainakin suuremmissa riskitilanteissa.

3. Pakota todennus ulkoisesti

Mitä monimutkaisempia API-todennusjärjestelmäsi ovat, sitä vaikeampaa on turvavaatimusten noudattaminen itse sovelluksessasi. Tästä syystä kehittäjien tulisi pyrkiä erottamaan API-suojaussäännöt sovelluslogiikasta ja käyttämään sen sijaan ulkoisia työkaluja, kuten API-yhdyskäytäviä, turvavaatimusten täytäntöönpanoon. Tämä lähestymistapa tekee API-suojauskäytännöistä skaalautuvampia ja joustavampia, koska ne voidaan helposti ottaa käyttöön ja päivittää API-yhdyskäytävien sisällä, pikemminkin sovelluksen lähdekoodin avulla. Ja mikä tärkeintä, sen avulla voit soveltaa erilaisia ​​sääntöjä eri käyttäjiin tai pyyntöihin vaihtelevien riskiprofiilien perusteella.

4. Tasapainota API-suojaus käytettävyyden kanssa

On tärkeää, ettei tietoturvasta tule käytettävyyden vihollista. Jos teet API-todennustoimenpiteistä liian häiritseviä tai raskaita, käyttäjäsi saattavat hylätä sovellusliittymäsi, mikä on päinvastoin kuin haluat tapahtuvan. Vältä tämä varmistamalla, että API-suojaussäännöt ovat tiukat silloin, kun niille on syytä, mutta asettamatta tarpeettomia vaatimuksia.

Sovellusliittymiin kohdistetut hyökkäykset eivät osoita merkkejä hidastumisesta. Sovellusliittymiä suunniteltaessa ja suojattaessa kehittäjien tulee mennä OWASP-suosituksia pidemmälle, jotta API:n hyödyntäminen olisi vaikeampaa.