API安全状态


当今时代是科技时代。随着现代技术的到来,与现代技术相关联的问题也增加到了很大的程度。

Application Programming Interfaces (APIs)现在企业开发人员非常依赖它们来支持新产品和服务的交付。随着API数量的增加,在网络上传递的数据量也在增加。

其中一些数据是敏感数据,如用户详细信息,电子邮件,密码。考虑facebook API,使您可以访问许多用户详细信息,包括照片,位置等。这些数据可以被用于许多恶意的方式;这就是为什么我们必须关注安全性,尤其是从一开始就构建安全的API。

你可能还喜欢:REST API Security.

API安全性日益受到关注

根据SmartBear最近的研究(该研究在他们的State of APIs report):

  • 有41.2%的人对他们的研究做出了回应,认为安全是他们希望摆脱的最大API技术问题。他们认为这是头等大事,需要万无一失的安全保障。
  • 根据这项研究,安全性将是预计将为API领域提供增长的领域的第4位。
  • 超过40%的API提供商使用某种工具来查看API security,他们想看看有没有漏洞。

API安全状态

随着我们周围的世界通过互联网连接变得越来越紧密,建立安全网络的需求无限增长。API仍然是跨行业的整体业务策略,无论它们是REST, SOAP或异步API。

物联网是新的和智能API开发快速增长背后的另一个驱动力,因为这些API充当智能设备和互联网之间的接口。最新的业务趋势结合了API的使用,这在以前的一些业务中是看不到的,例如:

  • 银行机构正在为其客户采用API,以获得更好的服务体验。银行正在采用一种API敏捷模型,用于高效,可适应性强的金融和安全架构。医疗保健从业人员为患者和客户使用各种API来提供集成的医疗保健服务,并允许跨组织的互操作性。
  • 零售商正在将API用于为其客户提供的更智能的电子商务平台,例如移动支付等。一般说来,实际中有三种主要类型的API:

API安全的当前状态:

在当今时代,每天都有大量的数据被传输。使用API传输的一些数据并不是那么重要。另一方面,通过API共享的一些数据是非常机密的,必须保持安全和加密。有很多“坏人”总是在寻找漏洞,他们知道不同公司,事务所的秘密,甚至是国家利益的报告,由于所有这些原因,API的安全性非常重要,在任何场景下都必须把安全性放在首位。

技术的现代化和与安全有关的问题是密切相关的。技术世界的利益相关者正在尽力克服这一障碍,他们想尽快摆脱对安全的担忧。

如今,API的安全性更多地集中在以下几个方面:

  1. 授权,身份验证和审核(访问控制)。
  2. 负载均衡和速率限制。
  3. 通讯及网络私隐(SSL/TLS)。

API安全性的未来

最近,API安全性将会出现某些趋势。从我所能识别的情况来看,这里是其中的一些:

1。DNS Security (DNSSEC)

加密与API设计携手并进,API设计授予您对敏感信息的访问权限。由于这些信息大部分是通过无线网络传输的,因此更容易受到攻击。设置SSL或TLS连接以确保传输中数据的安全是很重要的。使用SSL或TLS连接将您的安全性提高到另一个级别。

因为几乎所有web流量都需要标准DNS查询,这为DNS攻击(如DNS劫持和中间人攻击)创造了机会。这些攻击可以将网站的入站流量重定向到该网站的虚假副本,收集敏感的用户信息,并使企业承担重大责任。

与许多internet协议一样,DNS系统在设计时并没有考虑到安全性,它包含了一些设计限制。这些限制,再加上技术的进步,使得攻击者很容易劫持DNS查找以达到恶意目的,例如将用户发送到可以分发恶意软件或收集个人信息的欺诈网站。


我们以DNS劫持为例:

API安全状态

在DNS劫持中,攻击者将查询重定向到不同的域名服务器。这可以通过恶意软件或未经授权修改DNS服务器来完成。这意味着你实际上将在不知情的情况下打开www.notmybank.com,而不是打开www.mybank.com。

DNS Security Extensions(DNSSEC)是为缓解此问题而创建的安全协议。DNSSEC protocol通过对数据进行数字签名以帮助确保其有效性来防止攻击。为了确保安全查找,签名必须发生在DNS查找过程中的每个级别。

2.以安全为焦点的API设计

接触API开发人员和用户的关键是制定一个战略性的冰山模型,该模型揭示了API设计的易用性和可伸缩性。当你开始构建一个公开API的微服务时,从API设计开始。

强烈建议在API设计过程中关注安全性,以获得更快更好的结果,从而节省大量的时间和资源。RestCase平台使用AI和复杂的算法,以便在设计阶段验证和检查API,并建议如何处理安全方面。

3.人工智能驱动的API安全

使用系统预测API来集成巨大的数据,可视化,空间/位置,嵌入式,web,网络,文本和移动网络数据已经发展到结合自然语言处理,特别是在商业智能趋势的上下文中。新的实时数据来源可用于检测趋势,以便更快地对情报作出反应。

通过对API流量的深入洞察,可以进行趋势分析,历史攻击和异常检测,从而防止许多攻击。

例如,特定于API的DoS源于设计不良的API,其中没有强制执行速率限制。有时,一些API端点的运行计算量很大,例如需要哈希算法的身份验证逻辑。攻击者会有目的地利用此类端点并向其发送垃圾邮件,从而破坏整个系统。

4.机器学习驱动的API安全性

AI和ML是开发这类全面,智能API的优秀工具,可用于管理具有挑战性和新出现的威胁模型。其中包括识别和标记异常行为和恶意数据趋势以及识别和阻止多个环境和情况下的API攻击和异常行为模式。因此,在API中增加了持续学习功能,并且在没有事先知道攻击和书面策略的情况下,对异常行为进行标记。

各种机器学习算法,如朴素贝叶斯,k-最近邻,决策树,随机森林,支持向量机,深度学习和神经网络被推荐并被广泛应用于许多API安全方面。

摘要

这个现代技术时代正在日益广泛地传播,随着现代技术的到来,问题变得更加复杂,这一代的利益相关者正在尽力克服这些问题,勇敢地面对它们。

我们可以很方便地得出结论:API安全性是当今网络世界的最大需求,而ML/AI正被用作在协议栈的各个层实现API安全性的有效而聪明的工具。然而,在API商业模型,分析和技术蓝图以及最重要的合规性和标准化问题方面,需要对AI支持的API进行更多的研发努力。


进一步阅读