מהן כמה דרכים להפוך את ממשקי ה-API לאבטחים יותר? PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

מהן כמה דרכים להפוך את ממשקי ה-API לאבטחים יותר?

חותמת זמן: 4 בינואר 2023 1:33

שאלה: איך ארגונים יכולים לוודא שממשקי ה-API שלהם עמידים בפני פשרות, מול התקפות מבוססות API מוגברות?

רורי בלונדל, מייסד ומנכ"ל Gravitee: עסקים מכל הגדלים ובכל התעשיות מסתמכים באופן שגרתי על ממשקי API פנימיים כדי לאחד את האפליקציות של קו העסקים שלהם, ועל ממשקי API חיצוניים כדי לשתף נתונים או שירותים עם ספקים, לקוחות או שותפים. מכיוון של-API בודד עשויה להיות גישה ליישומים או שירותים מרובים, התפשרות על ה-API היא דרך קלה להתפשר על קבוצה רחבה של נכסים עסקיים במינימום מאמץ.

ממשקי API הפכו לוקטור התקפה פופולרי, ותדירות התקפות ה-API גדלה בצורה מדהימה 681%, על פי לאחרונה מחקר ממעבדות המלח. הצעד הראשון באבטחת ממשקי ה-API שלך הוא לעקוב אחר שיטות עבודה מומלצות, כגון אלו של OWASP ממליץ להגן מפני סיכוני אבטחה נפוצים של API.

עם זאת, שיטות אבטחה בסיסיות של API אינן מספיקות כדי לשמור על בטיחות משאבי ה-IT. עסקים צריכים לנקוט בצעדים הנוספים הבאים כדי להגן על ממשקי ה-API שלהם.

1. לאמץ אימות מבוסס סיכונים

עסקים צריכים לאמץ מדיניות אימות מבוססת סיכונים, המאפשרת לאכוף הגנות אבטחה במקרים של סיכון מוגבר. לדוגמה, לקוח API עם רקורד ארוך של הנפקת בקשות לגיטימיות העוקבות אחר דפוס צפוי מראש לא יצטרך לעבור את אותה רמת אימות עבור כל בקשה כמו לקוח חדש שמעולם לא התחבר לפני כן. אבל אם דפוס הגישה של לקוח ה-API הוותיק משתנה - אם, למשל, הלקוח יתחיל פתאום להנפיק בקשות מכתובת IP אחרת - דרישה לאימות קפדנית יותר תהיה דרך חכמה להבטיח שהבקשות לא יגיעו מלקוח שנפגע.

2. הוסף אימות ביומטרי

למרות שאסימונים נשארים חשובים כאמצעי בסיסי לאימות לקוחות ובקשות, הם ניתן לגנוב. מסיבה זו, צימוד אימות מבוסס אסימון עם אימות ביומטרי הוא דרך חכמה לשפר את אבטחת ה-API. במקום להניח שכל מי שיש לו אסימון API הוא משתמש חוקי, מפתחים צריכים לעצב יישומים כך שמשתמשים יצטרכו גם לאמת באמצעות טביעות אצבע, סריקות פנים או שיטה דומה, לפחות בהקשרים בסיכון גבוה יותר.

3. לאכוף אימות חיצוני

ככל שסכימות אימות ה-API שלך הופכות מורכבות יותר, כך קשה יותר לאכוף דרישות אבטחה בתוך האפליקציה שלך עצמה. מסיבה זו, מפתחים צריכים לשאוף לנתק את כללי אבטחת ה-API מהלוגיקה של האפליקציה ובמקום זאת להשתמש בכלים חיצוניים, כמו שערים של API, כדי לאכוף דרישות אבטחה. גישה זו הופכת את מדיניות אבטחת ה-API לניתנת להרחבה וגמישה יותר מכיוון שניתן ליישם ולעדכן בקלות בתוך שערי API, במקום באמצעות קוד המקור של האפליקציה. והכי חשוב, זה מאפשר לך להחיל כללים שונים על משתמשים או בקשות שונות בהתבסס על פרופילי סיכון משתנים.

4. איזון בין אבטחת API לבין שימושיות

חשוב לא לתת לאבטחה להפוך לאויב השימושיות. אם אתה הופך את אמצעי אימות ה-API לפולשניים או מכבידים מדי, המשתמשים שלך עלולים לנטוש את ממשקי ה-API שלך, וזה ההפך ממה שאתה רוצה שיקרה. הימנע מכך על ידי הבטחת שכללי אבטחת ה-API קפדניים כאשר יש סיבה לכך, אך מבלי להטיל דרישות מיותרות.

התקפות ממוקדות ממשקי API לא מראים שום סימן להאטה. בעת תכנון ואבטחת ממשקי API, מפתחים צריכים ללכת מעבר להמלצות OWASP כדי להקשות על ניצול ה-API.

בול זמן:

עוד מ קריאה אפלה