根據Cloudflare 2024 API安全與管理報告,2024年API請求占全球動態網際網路流量的57%,確認API是現代軟體開發的關鍵組成部分。但隨著API在近年來的廣泛採用,相關的安全挑戰也在增加。
駭客喜歡利用API入侵,主要是因為API讓他們可以繞過安全控制,輕易訪問敏感的公司和客戶資料,以及某些功能。
在過去兩年中,60%的組織遭遇至少一次API相關的安全漏洞。
美國社群媒體平台Spoutible近日的API安全事件,可能導致攻擊者竊取用戶的2FA密碼、加密的密碼重設令牌等。這類事件可能造成客戶和商業夥伴的信任喪失,進而導致財務損失和品牌價值下滑。糟糕的API安全實務還可能帶來法規和法律後果,導致公司營運中斷,甚至造成知識產權被竊。
對API的攻擊
攻擊者可以對API採取各種攻擊:
- DDoS
- 暴力破解
- 程式碼注入
- 中間人攻擊(MitM)
專家指出,傳統網路殺傷鏈攻擊者必須完成的7個階段,方能利用和入侵一個系統。
API將殺傷鏈從7個階段簡化為3個:偵察、武器化、利用。透過API,攻擊者可以簡單請求訪問大量敏感資料。
良好的API安全策略通常包含身份驗證、授權管控、加密傳輸、安全測試、持續監控等措施。OWASP和NIST網路安全架構都提供了API安全策略制定的參考依據。
最後,也是最重要的是,開發和IT團隊需要持續培訓並了解不斷發展的威脅以及API的最佳安全實踐。將安全性融入API是確保API漏洞不會成為安全漏洞的最佳方式。
本文轉載自TheHelpnetsecurity。
API時代來臨,資安趨勢演變策略
|
API是現代應用程式的必要項目,但隨著攻擊技法不斷演進,漏洞位居榜首、身分驗證與敏感資料外洩成為攻擊趨勢,軟體開發及程式設計必須高度關注API的安全性。2024年3月20日與資安人媒體一起面對數位轉型的各行各業對API的應用趨勢,並且透過各方的專家探討,找出更有效率應對API環境下資安威脅的最佳實踐。點我看活動資訊!
|