Care sunt câteva modalități de a face API-urile mai sigure?

Întrebare: Cum pot organizațiile să se asigure că API-urile lor sunt rezistente la compromisuri, în fața unui număr crescut de atacuri bazate pe API?

Rory Blundell, fondator și CEO Gravitee: Companiile de toate dimensiunile și din toate industriile se bazează în mod obișnuit pe API-urile interne pentru a-și uni aplicațiile de linie de afaceri și pe API-urile externe pentru a partaja date sau servicii cu furnizorii, clienții sau partenerii. Deoarece un singur API poate avea acces la mai multe aplicații sau servicii, compromiterea API-ului este o modalitate ușoară de a compromite un set larg de active comerciale cu un efort minim.

API-urile au devenit un vector de atac popular, iar frecvența atacurilor API a crescut uluitor 681%, potrivit recent cercetări de la Salt Labs. Primul pas în securizarea API-urilor este să urmați cele mai bune practici, cum ar fi cele pe care OWASP recomandă protejarea împotriva riscurilor comune de securitate API.

Cu toate acestea, practicile de bază de securitate API nu sunt suficiente pentru a menține resursele IT în siguranță. Companiile ar trebui să ia următorii pași suplimentari pentru a-și proteja API-urile.

1. Adoptați autentificarea bazată pe risc

Companiile ar trebui să adopte politici de autentificare bazate pe riscuri, care să permită aplicarea protecției de securitate în cazurile de risc crescut. De exemplu, un client API cu un istoric lung de emitere de cereri legitime care urmează un model previzibil ar putea să nu fie nevoie să treacă prin același nivel de autentificare pentru fiecare cerere ca un client nou care nu s-a conectat niciodată înainte. Dar dacă modelul de acces al clientului API de lungă durată se schimbă - dacă, de exemplu, clientul începe brusc să emită cereri de la o adresă IP diferită - necesitatea unei autentificări mai riguroase ar fi o modalitate inteligentă de a se asigura că cererile nu provin de la un client compromis.

2. Adăugați autentificare biometrică

Deși tokenurile rămân importante ca mijloc de bază de autentificare a clienților și a solicitărilor, ele poate fi furat. Din acest motiv, cuplarea autentificării bazate pe token cu autentificarea biometrică este o modalitate inteligentă de a îmbunătăți securitatea API. În loc să presupună că oricine deține un token API este un utilizator valid, dezvoltatorii ar trebui să proiecteze aplicații astfel încât utilizatorii să fie, de asemenea, nevoiți să se autentifice folosind amprente digitale, scanări faciale sau o metodă similară, cel puțin în contexte cu risc mai ridicat.

3. Implementați autentificarea extern

Cu cât schemele dvs. de autentificare API devin mai complexe, cu atât este mai greu să aplicați cerințele de securitate în cadrul aplicației dvs. Din acest motiv, dezvoltatorii ar trebui să se străduiască să decupleze regulile de securitate API de logica aplicației și, în schimb, să folosească instrumente externe, cum ar fi gateway-uri API, pentru a impune cerințele de securitate. Această abordare face politicile de securitate API mai scalabile și mai flexibile, deoarece pot fi implementate și actualizate cu ușurință în gateway-uri API, mai degrabă prin codul sursă al aplicației. Și, cel mai important, vă permite să aplicați reguli diferite pentru diferiți utilizatori sau solicitări pe baza diferitelor profiluri de risc.

4. Echilibrați securitatea API cu uzabilitatea

Este important să nu lăsați securitatea să devină inamicul utilizabilității. Dacă faceți măsurile de autentificare API prea intruzive sau împovărătoare, utilizatorii dvs. ar putea abandona API-urile, ceea ce este opusul a ceea ce doriți să se întâmple. Evitați acest lucru, asigurându-vă că regulile de securitate API sunt stricte atunci când există un motiv pentru care să fie, dar fără a impune cerințe inutile.

Atacurile care vizează API-urile nu arată niciun semn de încetinire. Atunci când proiectează și securizează API-urile, dezvoltatorii ar trebui să meargă dincolo de recomandările OWASP pentru a îngreuna exploatarea API-ului.