應用程序編程接口(API)已經成為網絡、程序、應用、設備以及計算領域中幾乎所有東西的關鍵部分。對于云計算和移動計算來說尤其如此,如果沒有API將所有內容整合在一起或管理大部分后端功能,云計算和移動計算都不可能以目前的形式存在。
由于其可靠性和簡單性,API在整個計算領域已經無處不在。大多數企業可能甚至不知道有多少API在他們的網絡中運行,尤其是在他們的云平臺中。大型企業中可能有成千上萬的API在工作,小型企業也依賴著比他們知道的更多的API。
API帶來的風險
盡管API變得越來越有用,但它們的使用也帶來了風險,創建API的標準很少,而且許多標準都是唯一的,因此,API包含可利用漏洞的情況并不少見。惡意分子發現,攻擊API通常比直接攻擊程序、數據庫、應用程序或網絡容易得多。API一旦被入侵,改變API的功能并不難,因此,API也成為一種為黑客工作的幕后黑手。
API帶來的另一個風險是,它們幾乎總是被過度許可,程序員給予它們很高的權限,這樣它們就可以在不中斷使用的情況下執行自己的功能,但是,如果網絡攻擊者破壞了API,那么他們就可以使用這些高權限來做其他事情,就像他們破壞了管理員的帳戶一樣。這已經成為一個嚴重的問題,CDN服務提供商Akamai公司的研究表明,針對API的攻擊占了全球所有憑證竊取嘗試的75%,網絡攻擊者知道API既易受攻擊又無處不在,因此時刻都在攻擊它們。
API安全工具的興起
考慮到攻擊API這一問題的嚴重性,近年來API安全工具的數量激增也就不足為奇了。如今有幾十種商業工具被設計用來保護API,還有數百種免費或開源的工具。許多與其他類型的網絡安全程序有相似的功能,但它們是專門為API的獨特性質而配置的。
一般來說,API安全工具可以分為幾類,有些工具提供了嘗試一次性完成所有任務的完整平臺。目前最流行的API安全工具類型是那些保護API免受惡意請求的工具,這有點像API防火墻。其他工具被設計用于動態訪問和評估特定API以查找漏洞,從而加強其代碼以抵御攻擊。還有一些工具只是掃描環境,這樣企業就可以發現他們的網絡中存在多少API,因為沒有人可以保護他們不知道的東西。
考慮到API網絡安全工具的數量,試圖編制一個完整的API網絡安全工具列表是很困難的,但通過研究用戶和商業評論,一些工具開始脫穎而出。以下是一些可用于幫助增強API安全性的頂級工具,并簡要介紹了它們的優點和功能。雖然有數百個工具未列入此列表,但這提供了一個很好的參照,說明了哪些是可用的工具,可以保護API避免遭受當今日益嚴重的網絡攻擊。
以下是目前可用的9種頂級API安全工具:
(1)APIsec
作為最流行的API安全工具之一,APIsec幾乎是完全自動化的,非常適合剛剛開始提高API安全性的企業。在已經建立API的生產環境中,APIsec將掃描API并測試常見漏洞,例如腳本注入攻擊,它也將對每個API進行完全的壓力測試,以確保它能夠抵御業務流程攻擊等不容易檢測到的網絡攻擊。如果發現問題,它將標記這些問題,并為安全分析人員提供詳細信息。
APIsec也可以在創建API時被開發人員主動使用。這樣,任何漏洞都可以在API使用之前被消除,APIsec在API部署后繼續監視,以防萬一。
(2)Astra
Astra是一個免費的工具,這意味著支持有限。用戶需要從GitHub獲取并安裝到他們的環境中,該工具在幫助管理和保護非常特定類型的API方面享有很高的聲譽。
Astra專注于代表性狀態轉移(REST)API,由于它們經常發生變化,因此測試和保護這些API非常困難。Astra通過集成到企業的持續集成(CI)/和持續交付(CD)管道中提供幫助,它確保了可能影響API的最常見的漏洞不會蔓延到所謂安全的REST API,因為它們作為其功能的一部分不斷變化。
(3)AppKnox
AppKnox以非常支持其用戶基礎而聞名。該平臺有一個非常易于使用的界面,該公司在部署和使用它時也提供了很多幫助。AppKnox這一工具已經進入了許多擁有小型安全團隊的企業,因為它能夠以最小的努力支持API安全性的添加。
一旦安裝,AppKnox將測試API的常見問題,例如HTTP請求漏洞、SQL注入漏洞等,它還掃描與API連接的所有資源,以確保它們不會成為黑客的有效攻擊路徑。
(4)Cequence Unified API Protection
Cequence Unified API Protection保護平臺專為部署企業環境的企業而設計,這些企業每天可能需要處理數十億個對其API的請求。可擴展的保護平臺首先檢測企業內的所有API,然后將它們歸檔到一個廣泛的目錄中。然后,可以對API進行漏洞的通用測試,或者安全團隊可以定義需要在API組上執行的特定測試。這不僅對保護API非常有幫助,而且還有助于遵守需要特定保護的政府法規或行業標準。
(5)Data Theorem API Secure
Data Theorem API Secure可以清點網絡、云計算、應用程序或任何其他目標中存在的每個API。對于那些想要加強API安全性,但不知道從哪里開始,甚至不知道他們正在使用多少API的企業來說,這是一個很好的選擇。API Secure還保持API庫存的最新狀態,在部署時快速查找任何新的API。
一旦定位,API安全將像黑客一樣測試每個API的漏洞。然后,它可以標記該API,讓工作人自行檢查或自動修復許多漏洞。
(6)Salt Security API Protection Platform
Salt Security API Protection Platform非常先進,是首批充分利用人工智能和機器學習來檢測和阻止針對API的威脅的平臺之一。該平臺通過收集整個網絡上的API流量來實現這一點,分析對API的調用以及它們的響應。然后,它將在本地看到的數據與存儲在基于云計算的大數據引擎中的流量數據進行比較。然后,它可以阻止大多數網絡攻擊并突出顯示可疑活動,提醒安全團隊或根據其設置采取行動。
隨著時間的推移,這一平臺會不斷學習,它檢查API網絡的時間越長,在確定特定網絡上哪些行為是可接受的時候就越準確。
(7)Noname Security
Noname Security在大企業中建立了良好的聲譽。據報道,20%的財富500強公司都在使用它。它的設計目的是通過分析通過API移動的流量數據,超越一些平臺提供的標準API漏洞檢查保護。然后,它利用人工智能和機器學習來查找惡意活動。
Noname Security在測試中支持使用通用和非標準API。例如,它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API。使用流量數據,它甚至可以發現、分類和保護不受API網關管理的API,或者不遵循任何標準協議的本地API。
(8)Smartbear ReadyAPI
專注于開發環境,Smartbear ReadyAPI不僅可以用于在構建API時測試API的安全漏洞,還可以監視其性能。通過這種方式,開發人員可以看到如果API遇到非常大量的數據會發生什么。
作為測試的一部分,用戶可以配置向開發中的API發送什么樣的流量,或者ReadyAPI可以從企業的網絡捕獲真實的流量,然后將其用于非常實際的測試。ReadyAPI支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。
(9)Wallarm End-to-End API Security
雖然Wallarm End-to-End API Security平臺被設計為在許多API駐留的云原生環境中工作,但它也可以用于保護內部設備中存在的API。它旨在防止針對API的任何類型的威脅,從開放Web應用程序安全項目(OWASP)頂級漏洞列表中的威脅,到經常針對API的憑據填充等的特定威脅。
Wallarm還可以幫助減輕由機器人進行的分布式拒絕服務(DDoS)攻擊和偵察入侵或直接攻擊。考慮到當今互聯網上的大部分流量都是由機器人組成的,這是一個很好的安全功能。
該平臺還提供了基于用戶流量的企業的整個API組合的深入觀察和概述,這不僅可以提供對安全性的洞察,還可以提供企業如何使用API以及哪些領域可能需要改進的建議。這并不是Wallarm平臺的主要目的,但作為使用該平臺的額外獎勵,這些詳細的報告肯定會在安全之外的其他領域有所幫助。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號