2023API 安全建設(shè)白皮書_第1頁
2023API 安全建設(shè)白皮書_第2頁
2023API 安全建設(shè)白皮書_第3頁
2023API 安全建設(shè)白皮書_第4頁
2023API 安全建設(shè)白皮書_第5頁
已閱讀5頁,還剩18頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

PAGEPAGE1API安全建設(shè)白皮書APIAPIPAGEPAGE2目錄前言 3API是什么 3API的定義 3API的類型 4小結(jié) 5API的安全挑戰(zhàn) 5API防護(hù)缺失已成業(yè)務(wù)和數(shù)據(jù)安全最大風(fēng)險(xiǎn)敞口 6API面臨的主要安全問題 6API資產(chǎn)不可見 6攻擊面增加 7API攻擊更加隱蔽 8監(jiān)管合規(guī)性挑戰(zhàn) 92.3.小結(jié) 10API全生命周期安全防護(hù) 10API安全設(shè)計(jì)的指導(dǎo)原則 113.1.1.5A原則 113.1.2.縱深防御原則 12API生命周期的安全防護(hù)模型 13設(shè)計(jì)階段:引入威脅建模 14開發(fā)階段:安全開發(fā)意識和規(guī)范培訓(xùn),引入安全工具 15測試階段:漏洞加入測試流程,使用AST類工具提高覆蓋率 16上線運(yùn)行階段:借助網(wǎng)關(guān)、WAF和流量審計(jì)工具提早感知攻擊面 17迭代階段:利用安全工具及時(shí)審計(jì)API變更 21下線階段:及時(shí)下線僵尸影子API 213.3.小結(jié) 22結(jié)束語 22前言變得越來越劇烈,數(shù)據(jù)的安全是網(wǎng)絡(luò)安全不可或缺的重要組成部分。在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、5GAPIAPIAPIAPIAPI,API,API的重點(diǎn)攻擊對象。2022APIAPIOWASPAPISecurityTop10WAFGartnerWAAPAPIAPIAPIAPI(ApplicationProgramming服務(wù),而無須訪問源碼,也無須理解內(nèi)部工作機(jī)制的細(xì)節(jié)。APIWeb行的應(yīng)用程序的APIWebAPI定義的請求-響應(yīng)消息系統(tǒng),通常以JSON或XML表示。APIWebAPI被定義為基于HTTP,今天看到的四種主要類型的WebAPI:RESTfulAPI:可以追溯到RoyFielding在2000常見的WebAPI類型,通常使用JSON(JavaScript對象表示法)來處理數(shù)據(jù)。RESTfulAPI(和ReactWebWebAPIB2BSOAPAPI:SOAP使用詳細(xì)的擴(kuò)展標(biāo)記語言(XML)進(jìn)行遠(yuǎn)程過程調(diào)用(RPC)。目前使用比較少,在一些老舊的系統(tǒng)能還能看到。GraphQLAPI:Facebook開發(fā)的新GraphQL標(biāo)準(zhǔn)通過單個(gè)POST端點(diǎn)(通常是/graphql)提供數(shù)據(jù)庫訪問,多用于具有圖結(jié)構(gòu)的數(shù)據(jù)場景,實(shí)際應(yīng)用目前比較少見。gRPCAPI:一種新的、Google開發(fā)的基于HTTP/2.0的高性能二進(jìn)制協(xié)議,主要用于一些海量用戶的高并發(fā)請求的場景。APIAPIPAGEPAGE10小結(jié)在當(dāng)今應(yīng)??API?聯(lián)??動駕駛汽?SaaSweb?在??向合作伙伴和機(jī)構(gòu)內(nèi)部的應(yīng)?程序中隨處可?API?Akamai指出“API請求已占所有應(yīng)用請求的83,預(yù)計(jì)2024年API請求命中數(shù)將達(dá)到42萬億次”。??越多地成為攻擊者的?標(biāo)。沒有安全的API,快速創(chuàng)新將是不可能的。APIAPIAPIAPIAPIAPIWebWebWebWebSQLXSSCSRFAPIWebAPI(WebAPIAPIIoTWebAPIWebAPIAPIAPIAPIAPISDLDevSecOpsAPIAPIAPI2021IBMSecurityX-ForceGartner2025API管理工具的能力,將有50的企業(yè)出現(xiàn)API安全防護(hù)缺位,并且有90的企業(yè)僅能為其公APIAPIAPIGartner2022Web2024API下圖是近些年一些典型的因API漏洞導(dǎo)致的攻擊事件:事件主體事件經(jīng)過Facebook第三方應(yīng)用通過API獲取5千萬用戶數(shù)據(jù),并用以政治廣告投放LinkedinAPI7微博通訊錄匹配查詢API被撞庫,導(dǎo)致5億用戶信息泄漏美國郵政UPS因API認(rèn)證漏洞導(dǎo)致6000萬用戶信息泄漏淘寶兩個(gè)API的邏輯漏洞導(dǎo)致11億的用戶購物信息泄漏攻防演練企業(yè)OAajax.do導(dǎo)致靶標(biāo)系統(tǒng)被攻破等APIAPIAPIAPI、APIAPIAPIAPIAPI大部分企業(yè)并沒有把API資產(chǎn)納入到資產(chǎn)盤點(diǎn)的范疇,未做好全面的資產(chǎn)梳理工作;而且APIAPIAPI及時(shí)定位到相關(guān)應(yīng)用節(jié)點(diǎn),將錯(cuò)過最佳的應(yīng)急響應(yīng)時(shí)間。API攻擊面增加k8sAPIAPI面,從而導(dǎo)致需要防范的攻擊面比原來要大很多。攻擊面說明攻擊面說明認(rèn)證授權(quán)存在漏洞引入攻擊面APIAPIABAB輸入?yún)?shù)校驗(yàn)不嚴(yán)引入攻擊面APIAPI格,可能會被攻擊者利用構(gòu)造的輸入來進(jìn)行注入類攻擊如SQL、XSS、SSRF或者利用參數(shù)遍歷與用戶身份進(jìn)行組合帶來越權(quán)類攻擊設(shè)計(jì)不合理引入攻擊面APIAPI獲取API原始返回的數(shù)據(jù),從而存在數(shù)據(jù)泄漏的隱患,,對于登錄場景類,APIAPIAPIAPIbugbug安全配置缺陷引入攻擊面webHTTP將內(nèi)部系統(tǒng)部署在公網(wǎng)使用易受攻擊和過時(shí)的組件引入的攻擊面API使用的開源或第三方組件的版本過低,存在漏洞可以被攻擊APIAPI更難發(fā)現(xiàn)。一些常見的攻擊行為:高頻訪問行為:APIAPIAPI帶來CC攻擊。大量數(shù)據(jù)下載行為:API導(dǎo)致攻擊者可以通過多次下載達(dá)到獲取大量數(shù)據(jù)的目的,容易造成大量敏感數(shù)據(jù)泄漏。網(wǎng)絡(luò)爬蟲行為:APIIPUser-AgentAPIIPAPI營銷作弊。APIAPIURL攻擊,消耗企業(yè)的短信費(fèi)用,給企業(yè)帶來負(fù)面的社會影響。監(jiān)管合規(guī)性挑戰(zhàn)2016題,從2017620212021APIWAFIPSAPIAPIJR/T0185-2020APIAPIAPIAPI落地標(biāo)準(zhǔn)。企業(yè)完成了此類合規(guī)的挑戰(zhàn),才能更好地開展業(yè)務(wù)。下圖所示為這幾年來的數(shù)據(jù)相關(guān)法規(guī)的處罰細(xì)化說明:小結(jié)APIAPIAPIAPI增大。APIAPIAPIAPI認(rèn)不信任等。安全設(shè)計(jì)原則需要不斷的學(xué)習(xí)和培訓(xùn),讓安全設(shè)計(jì)人員和研發(fā)都能融會貫通。PIAPI5A5A5A原則是指Authentication(身份認(rèn)證)、Authorization(授權(quán))、AccessControl(訪問控制Auditable(可審計(jì)性AssetProtection(資產(chǎn)保護(hù)5果某一個(gè)方面缺失,則在安全設(shè)計(jì)上是不全面的。身份認(rèn)證,解決“你是誰”的問題,APIAPIAPIAPI/(2FA)或多因子認(rèn)證(MFA)。常見的組合有用戶名/密碼+短信挑戰(zhàn)碼、用戶名/密碼+動態(tài)令牌、用戶名/SSOAPIIPAPI。通常發(fā)生在授權(quán)之后,APIOAuth2.0APIRBACAPIAPIAPI(賬號、UA)、在什么時(shí)間、IP(在什么地方)API(做了什么)APIRefererAPIAPIAPI縱深防御原則API的場景如網(wǎng)銀的轉(zhuǎn)賬業(yè)務(wù),進(jìn)入系統(tǒng)時(shí)需要進(jìn)行登錄進(jìn)行身份認(rèn)證,在后面的調(diào)用轉(zhuǎn)賬API轉(zhuǎn)賬時(shí)的身份認(rèn)證,相互之間就構(gòu)成了縱深防御原則。5A構(gòu)成一個(gè)有機(jī)的防護(hù)整體。以下是將兩個(gè)原則結(jié)合起來的API安全整體示意圖:APIAPI/SQL/WAF/SQLWAFAPIAPI流程的繞過,APIOAuth2.0OpenIDConnectJSONXMLProtobufJWTAPICCBOT使用的檢測和防護(hù)策略,如訪問頻率限制、IPAPIWAFAPIAPIAPIAPIAPIAPI設(shè)計(jì)階段:引入威脅建模APIAPIAPIASTRIDE(API5AAPIAPIAPI下面列表的一些安全檢查表和最佳實(shí)踐可以作為威脅建模階段的一些參考:OWASPREST安全檢查表\h/cheatsheets/REST_Security_Cheat_Sheet.htmlapisecAPI\h/arainho/awesome-api-securityAPI安全檢查表\h/shieldfy/API-Security-ChecklistJWT安全檢查表\h/files/cheatsheets/jwt.pdf開發(fā)階段:安全開發(fā)意識和規(guī)范培訓(xùn),引入安全工具APIbugAPIbug在API安全開發(fā)培訓(xùn)方面,可以從四個(gè)方面來考慮:APIAPI上線后的漏洞數(shù)量等。APIOWASPAPITop10SRC的一些具有代表性的問題。通過問題案例的方式,更加能讓大家理解和學(xué)習(xí)。API拓研發(fā)的思維,在遇到類似問題時(shí)能想到更好的解決方法。API安全編碼的規(guī)范和案例。下面列表的一些安全編碼和開發(fā)規(guī)范,可以借鑒和參考:OWASP安全編碼實(shí)踐\h/www-project-secure-coding-practices-quick-reference-guide/migrated_content騰訊的代碼安全指南\h/Tencent/secguide永安在線API安全開發(fā)規(guī)范\h/reportDetail/14ac36b8-f5c6-11ec-af75-00163e048a4c在自動化工具方面,可以考慮如下幾個(gè)方面的工具:CI/CD描。APIAPIAPI程數(shù)據(jù)。APIAPIFuzzDB、個(gè)人數(shù)據(jù)隱私監(jiān)測類工具。ASTAPIAPIAPIAPIAPIAPIAPIAPIHTTPHeaderAPI具有以下三類:SAST、DAST、IAST特點(diǎn),和供應(yīng)商一起優(yōu)化IAST入處理不當(dāng)導(dǎo)致的漏洞。(StaticApplicationSecurityTesting,SAST)漏洞。動態(tài)安全檢測(DynamicApplicationSecurityTesting,DAST),其特點(diǎn)是在應(yīng)用程序漏洞。交互式安全檢測(InteractiveApplicationSecurityTesting,IAST),DASTSASTAgentJVM這三類工具中,IASTAPIAPIDAST上線運(yùn)行階段:借助網(wǎng)關(guān)、WAFAPIAPI上線階段常用的安全工具WAFSQLXSSDDoSBOTWAFWAFWAF全防護(hù)策略,達(dá)到快速阻止攻擊的目的。APIPIAPIAPI(CI/CD)IAPICI/CDAPIAPI以根據(jù)業(yè)務(wù)的實(shí)際情況來評估是否需要使用API網(wǎng)關(guān)。APIAPIAPIAPIAPIAPIUEBAAPIP2DR適應(yīng)的P2DRAPIAPI擊威脅的感知和防護(hù)。一是持續(xù)構(gòu)建資產(chǎn)發(fā)現(xiàn)能力APIAPIAPIAPIAPIAPIAPI、APIAPIIP分級分類可以讓安全運(yùn)營的人分優(yōu)先級的來進(jìn)行治理。API也可以根據(jù)返回的數(shù)據(jù)敏感度的情況來進(jìn)行分級分類。API關(guān)系,這樣可以從容應(yīng)對法規(guī)和監(jiān)管的治理需要。賬號資產(chǎn),可以根據(jù)權(quán)限級別、訪問系統(tǒng)、活躍性等來進(jìn)行分級分類。IP面向終端用戶面向合作企業(yè)面向內(nèi)部員工面向開源組件和中間件在互聯(lián)網(wǎng)上給到用戶使用的APP、Web、小程序等用到的API在互聯(lián)網(wǎng)上開放給到合作企業(yè)客戶使用的業(yè)務(wù)API開放給到內(nèi)部員工或者合作伙伴使用的應(yīng)用系統(tǒng)上關(guān)聯(lián)到的API面向終端用戶面向合作企業(yè)面向內(nèi)部員工面向開源組件和中間件在互聯(lián)網(wǎng)上給到用戶使用的APP、Web、小程序等用到的API在互聯(lián)網(wǎng)上開放給到合作企業(yè)客戶使用的業(yè)務(wù)API開放給到內(nèi)部員工或者合作伙伴使用的應(yīng)用系統(tǒng)上關(guān)聯(lián)到的API使用到的clickhouse、springbootk8shadoopjenkins等涉及到的API二是持續(xù)的風(fēng)險(xiǎn)監(jiān)測能力APIAPIAPI賬號的違規(guī)操作行為風(fēng)險(xiǎn)、IP漏洞風(fēng)險(xiǎn)的檢測,有如下幾個(gè)方面:API計(jì)等方面的缺陷;以及關(guān)聯(lián)賬號的弱密碼這類風(fēng)險(xiǎn)的監(jiān)測。API攻擊行為和異常行為的檢測,有如下幾個(gè)方面:APIAPIAPIAPI上都會有比較好的表現(xiàn)。IPUEBAIPIPIPAPIIPAPIIPIP三是持續(xù)構(gòu)建防護(hù)能力5AWAFAPIDDoS、CC、BOTAPI四是持續(xù)構(gòu)建響應(yīng)能力SRCAPIAPI隱秘多變的攻擊手段。API可從業(yè)務(wù)流量中細(xì)化攻擊的行為結(jié)合攻擊者歷史情報(bào)信息對攻擊者的資源、手法、意圖、團(tuán)伙情況、潛在目標(biāo)進(jìn)行關(guān)聯(lián)跟蹤分析,進(jìn)而構(gòu)建攻擊者情報(bào)庫,對攻擊者進(jìn)行

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論