第三方API是軟件接口,能夠使企業(yè)在自己的網(wǎng)站或應用程序上利用第三方功能或數(shù)據(jù)。技術研究和咨詢機構ISG公司的網(wǎng)絡安全主管Phil Quitugua表示,這些第三方API使開發(fā)人員能夠將他們的應用程序或系統(tǒng)與外部服務、數(shù)據(jù)或功能集成在一起。
一些市場流行的第三方API包括導航應用程序、社交媒體平臺和數(shù)字支付處理工具。DataDome公司的產(chǎn)品副總裁Paul Scanlon表示:“這些API是谷歌公司或Facebook公司等第三方提供的,讓用戶可以在自己的網(wǎng)站或應用程序上訪問他們的數(shù)據(jù)或功能。每個人都喜歡采用API。通過使各種設備和應用程序能夠通過各種通信協(xié)議交換信息,API可以幫助開發(fā)人員更輕松、更有效地創(chuàng)造出色的用戶體驗。”
雖然API得以普及應用,但存在著安全的致命弱點——根據(jù)Saltsecurity公司發(fā)布的《2023年第一季度API安全狀況》報告,在過去的一年中,大約94%的企業(yè)在生產(chǎn)API中遇到了安全問題,17%的企業(yè)遭遇了API相關的漏洞。因此,需要確保第三方API安全性。
為什么確保第三方應用程序的安全如此重要
NCC集團工業(yè)和運營技術業(yè)務總監(jiān)Jim McKenney表示,第三方API需要強大的安全性,因為它們可能是弱點。如果它們不安全,可能會泄露敏感數(shù)據(jù)或導致原始軟件出現(xiàn)問題。
McKenney說,“API安全保護程序之間的通信(例如OpenStreetMap的API)免受網(wǎng)絡威脅。它可以抵御惡意攻擊、未經(jīng)授權的訪問以及API濫用等新出現(xiàn)的威脅。API安全確保了應用程序之間安全可靠的對話。”
Capgemini公司旗下的Sogeti公司負責洞察和數(shù)據(jù)的副總裁Doug Ross表示,第三方API安全涉及實施認證、授權、加密和監(jiān)控等措施,以確保API及其數(shù)據(jù)的隱私、完整性和可用性。Ross說,“API安全性是軟件開發(fā)的一個關鍵方面,因為API經(jīng)常充當不同系統(tǒng)之間的橋梁,并且越來越多地用于交換敏感和關鍵信息。”
出于許多原因,確保第三方API的安全性至關重要。一方面,API可以訪問敏感信息,例如用戶數(shù)據(jù)或支付信息。因此,如果第三方API遭到破壞,則可能導致數(shù)據(jù)泄露,從而影響最終用戶和依賴API的業(yè)務。此外,不安全的API可能會使應用程序或系統(tǒng)暴露于漏洞和攻擊之下,從而可能導致系統(tǒng)故障或對資源的不適當訪問。
第三方API的安全性在維護合規(guī)性方面也很重要,因為許多行業(yè)都有嚴格的數(shù)據(jù)保護和隱私法規(guī),例如歐盟的《通用數(shù)據(jù)保護條例》(GDPR)和美國的《健康保險流通與責任法案》。Ross表示,確保第三方API的安全性有助于企業(yè)遵守這些法規(guī)并避免監(jiān)管機構的處罰。涉及第三方API的安全漏洞可能會損害企業(yè)的聲譽,導致客戶信任的喪失,并可能影響商業(yè)伙伴關系。
以下是確保第三方API安全性的五個最佳實踐:
(1)維護包含第三方API的API清單
Bionic公司的安全研究員Jacob Garrison表示,維護API清單,使其在代碼變化時自動更新,這是API安全程序的重要第一步。它應該區(qū)分第一方和第三方API。它還鼓勵在不通知安全團隊的情況下持續(xù)監(jiān)控影子IT API。
Garrison說:“為了確保企業(yè)的庫存穩(wěn)健且可操作,應該跟蹤哪些API傳輸關鍵業(yè)務信息,例如個人身份信息和支付卡數(shù)據(jù)。”他表示,API清單是對第三方風險管理的補充。當開發(fā)人員使用第三方API時,考慮供應商本身的風險評估是值得的。
他說,“例如,假設企業(yè)的數(shù)據(jù)工程團隊想要發(fā)送個人身份數(shù)據(jù)到Tableau進行分析,在這種情況下,有必要評估該供應商的安全狀況是否在企業(yè)的風險承受范圍內(nèi)。”
Invicti Security公司首席技術和安全研究主管Frank Catucci也認為,包括第三方API的清單是至關重要的。
他說:“企業(yè)需要讓第三方API成為其整體API庫的一部分,必須把它們視為自己擁有和負責的資產(chǎn)。所以,確保準確地了解哪些API在哪里運行以及它們在做什么是重要的第一步,因為人們無法保護自己看不到的物品。”
(2)調(diào)查第三方API供應商
McKenney表示,企業(yè)應該選擇具有強大安全措施的信譽良好的提供商,監(jiān)控可疑行為的API活動,并使用加密措施。例如,只使用來自可信提供者的支付處理API,定期監(jiān)視API日志中任何異常活動,并確保通過API發(fā)送的所有敏感數(shù)據(jù)都是加密的。
Lexmark公司的首席信息安全官Bryan Willett表示,對于第三方來說,建立供應商安全管理流程非常重要。他說:“這個過程應該與企業(yè)的采購過程緊密結合起來,這樣所有的供應商和合同都要經(jīng)過這個過程。這個過程應該由幾個子過程組成,包括供應商風險評估、供應商安全評分、持續(xù)監(jiān)控以及合同審查,以確保條款符合企業(yè)的風險承受能力。”
(3)確保第三方API的供應商安全測試
Willett表示,重要的是,企業(yè)要建立供應商的通用安全控制,以及跨第三方API生命周期不同階段的安全控制,以確保適當?shù)谋Wo符合他們的風險承受能力。
他說:“例如,人們希望看到安全開發(fā)生命周期從培訓到整個交付過程根植于企業(yè)文化中,以確保從一開始就考慮到安全問題。”Willett表示,這些應該包括解決由供應商開發(fā)的源代碼和產(chǎn)品中包含的開源庫所產(chǎn)生的風險的實踐。
Willett說:“用戶希望看到供應商有良好的安全測試實踐,使用最新的工具來執(zhí)行靜態(tài)代碼分析、模糊測試和漏洞掃描。在運營領域,希望看到強有力的變更管理流程的證據(jù),對數(shù)據(jù)進行適當?shù)脑L問控制,并實施零信任原則。”
供應商還應該有成熟的漏洞管理程序來監(jiān)控補丁的操作環(huán)境,并有一個明確的服務級別協(xié)議來確定何時修補漏洞。
(4)自己測試第三方API
Catucci表示即使企業(yè)不編寫第三方API,也不控制它們,他們?nèi)匀豢梢韵駵y試自己的API一樣測試它們。例如,企業(yè)可以使用動態(tài)應用程序安全測試功能來掃描第三方API,以查找已知的漏洞、易受攻擊的組件或可能存在于這些API中的過時組件。
他說,“即使用戶沒有擁有它們,也必須對它們進行測試,如果發(fā)現(xiàn)第三方API有特定的漏洞,用戶可以阻止該功能,或者在修復之前不要使用這個API。”
(5)API密鑰的輪換
Willett表示,另一個安全考慮是API密鑰的輪換。當用戶調(diào)用第三方API時,他們必須為他們的請求提供一個唯一的字符串,這稱之為密鑰。這個字符串告訴供應商哪個客戶正在進行呼叫。有兩個主要原因需要定期輪換密鑰。
Willett說,“首先,惡意行為者攔截用戶的API密鑰,然后他們可以代表生成請求。根據(jù)第三方使用的安全協(xié)議,這個密鑰可能足以提取與用戶的帳戶相關的敏感信息。其次,第三方API需要支付費用。API密鑰用于計費目的。惡意行為者可以使用用戶的密鑰快速觸發(fā)API請求,從而提高其賬單。基于這兩個原因,API安全程序應該包括定期的密鑰輪換。”
企業(yè)需要保護API
基于API的網(wǎng)絡攻擊非常復雜,需要同樣強大的防御。此外,ThreatX公司的安全策略總監(jiān)兼首席信息安全官Jeremy Ventura表示,現(xiàn)在第三方入侵比以往任何時候都更加突出。
他說:“許多引人注目的安全漏洞(例如Peloton和Nissan)都是由未受保護的API造成的。攻擊一些企業(yè)的供應鏈對那些想要進入網(wǎng)絡的網(wǎng)絡罪犯來說非常有吸引力。”
Ventura指出,對于企業(yè)來說,了解第三方API安全威脅不僅僅是一個IT問題,而且是一個影響所有企業(yè)和客戶核心業(yè)務的至關重要的問題。
關于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號