Question : Comment les organisations peuvent-elles s'assurer que leurs API résistent aux compromis, face à l'augmentation des attaques basées sur les API ?
Rory Blundell, fondateur et PDG de Gravitee : Les entreprises de toutes tailles et de tous les secteurs s'appuient régulièrement sur des API internes pour unir leurs applications métier, et sur des API externes pour partager des données ou des services avec des fournisseurs, des clients ou des partenaires. Étant donné qu'une seule API peut avoir accès à plusieurs applications ou services, compromettre l'API est un moyen facile de compromettre un large éventail d'actifs commerciaux avec un minimum d'effort.
Les API sont devenues un vecteur d'attaque populaire et la fréquence des attaques d'API a augmenté d'une manière étonnante 681%, selon les dernières recherche de Salt Labs. La première étape de la sécurisation de vos API consiste à suivre les meilleures pratiques, telles que celles que l'OWASP recommande de se protéger contre les risques courants de sécurité des API.
Cependant, les pratiques de base en matière de sécurité des API ne suffisent pas à assurer la sécurité des ressources informatiques. Les entreprises doivent suivre les étapes supplémentaires suivantes pour protéger leurs API.
1. Adoptez l'authentification basée sur les risques
Les entreprises doivent adopter des politiques d'authentification basées sur les risques, qui permettent d'appliquer des protections de sécurité en cas de risque accru. Par exemple, un client d'API avec un long historique d'émission de demandes légitimes qui suivent un modèle prévisible peut ne pas avoir besoin de passer par le même niveau d'authentification pour chaque demande qu'un nouveau client qui ne s'est jamais connecté auparavant. Mais si le modèle d'accès du client API de longue date change - si, par exemple, le client commence soudainement à émettre des demandes à partir d'une adresse IP différente - exiger une authentification plus rigoureuse serait un moyen intelligent de s'assurer que les demandes ne proviennent pas d'un client compromis.
2. Ajouter une authentification biométrique
Bien que les jetons restent importants en tant que moyen de base pour authentifier les clients et les demandes, ils peut être volé. Pour cette raison, coupler l'authentification basée sur les jetons à l'authentification biométrique est un moyen intelligent d'améliorer la sécurité des API. Plutôt que de supposer que toute personne possédant un jeton d'API est un utilisateur valide, les développeurs doivent concevoir des applications de sorte que les utilisateurs doivent également s'authentifier à l'aide d'empreintes digitales, d'analyses faciales ou d'une méthode similaire, du moins dans les contextes à haut risque.
3. Appliquer l'authentification en externe
Plus vos schémas d'authentification API deviennent complexes, plus il est difficile d'appliquer les exigences de sécurité au sein de votre application elle-même. Pour cette raison, les développeurs doivent s'efforcer de dissocier les règles de sécurité de l'API de la logique de l'application et d'utiliser à la place des outils externes, tels que des passerelles d'API, pour appliquer les exigences de sécurité. Cette approche rend les politiques de sécurité des API plus évolutives et flexibles, car elles peuvent être facilement mises en œuvre et mises à jour dans les passerelles API, plutôt via le code source de l'application. Et surtout, il vous permet d'appliquer différentes règles à différents utilisateurs ou demandes en fonction de différents profils de risque.
4. Équilibrez la sécurité des API avec la convivialité
Il est important de ne pas laisser la sécurité devenir l'ennemie de la convivialité. Si vous rendez les mesures d'authentification d'API trop intrusives ou lourdes, vos utilisateurs risquent d'abandonner vos API, ce qui est le contraire de ce que vous souhaitez qu'il se produise. Évitez cela en vous assurant que les règles de sécurité de l'API sont strictes lorsqu'il y a une raison pour qu'elles le soient, mais sans imposer d'exigences inutiles.
Les attaques ciblant les API ne montrent aucun signe de ralentissement. Lors de la conception et de la sécurisation des API, les développeurs doivent aller au-delà des recommandations de l'OWASP pour rendre plus difficile l'exploitation de l'API.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
