博客

关于 API 状态的 15 个问题

Chuck Herrin 缩略图
查克赫林
2024 年 11 月 1 日发布

我有一个秘密今天要与你们分享。 在过去 20 年里,我担任过六个首席信息安全官 (CISO) 职位,其中只有一个是因为违规行为而招募我的。 一。 

其余五人的离职要么是由于人员流失,要么是由于主要利益相关者失去信任而更换了现任者。 其中有一半的人是因为失去信任而被替换,而不是因为违约。

为什么 CISO 需要了解他们的 API 环境

在 API 安全领域,我们可以用几句声明来概括 CISO 了解其 API 暴露的必要性。 

首先,您需要了解四个事项才能为给定环境创建威胁模型:您的资产、参与者、界面和操作。 换句话说,“谁在做什么、对什么做、通过什么做?”

其次,API中的“I”是“接口”。 application编程接口广泛应用于多个平台、语言和框架,几乎所有现代软件开发都是 API-first 的。 保证您的环境中有 API。 

第三,如果您作为 CISO 没有公开和提供敏感数据的接口清单(无论是内部还是网络和移动应用程序),那么您的威胁模型就不完整,并且服务和数据暴露的盲点也相应不完整。 

最后,不完整的威胁模型缺乏全面的安全监督和应尽的谨慎证明,这是审计师和监管机构负责确保的两个关键领域。 他们的责任是确保理解和管理特定环境中的资产、参与者、界面和操作。 

评估您的 API安全风险

在 F5,我们始终希望我们的客户是房间里最聪明的人,因此我们创建了一个简短的问题列表,您可以使用它来评估 API 生态系统的当前状态。 通过现在回答这些问题,您将在稍后的现场考试或外部审计中被问到时做好准备。 

我已亲自与多个机构的监管者和审查人员分享了这些问题。 现在美国 联邦通信委员会已开始专门针对 API 问题发布罚款和同意令,并且支付卡行业数据安全标准 (PCI DSS) 4.0+ 的当前版本专门要求在开发中遵守 API,对于防御者来说,现在是准备好这些问题答案的最佳时机。 

即使你无法回答所有问题,了解自己的立场并表现出积极主动的态度对于 CISO 来说至关重要。 通过证明您对 API 安全态势的理解和发展,您将保留自己努力赢得的信心。 

以下是从最简单到最难的列表。 如果您无法按照自己想要的方式排名,请致电 F5 客户团队。 我们将竭诚为您服务。

  1. 谁负责我们公司的 API 安全?
  2. 我们的 API 是否已指定所有者?
  3. 我们的收入有多少来自 API?
  4. 我们有多少个 API?
  5. 其中有多少正在积极使用,有多少处于闲置状态?
  6. 有多少个 API 容易受到十大最常见 API 问题的影响?
  7. 我们的渗透测试是否充分覆盖了生产中的 API 漏洞和对业务逻辑的攻击?
  8. 我们的哪些 API 传输或接收符合法律或法规要求的数据?
  9. 我们看到恶意流量了吗? 在哪些 API 端点上?
  10. 我们的整体 API 安全风险是什么? 与去年同期相比,情况有所改善还是恶化了?
  11. 是否有一些开发团队比其他团队产生更多的 API 问题? 他们是如何接受培训并获得有关 API 安全问题的反馈的?
  12. 代码和 API 更改在投入生产之前是否有一个审查流程?
  13. 谁会收到针对我们的 API 检测到的安全事件警报?
  14. 当检测到针对我们的某个生产 API 的破坏性对象级别授权 (BOLA) 攻击时,平均响应时间是多少(以分钟为单位)?
  15. 最后,回到列表顶部的基本问题——我们认为拥有 API 安全性的人是否知道并同意他们拥有它?

加强安全态势

评估您的 API 环境和 API 带来的潜在威胁是发现盲点和加强安全态势的第一步。   

本周,请与 F5 一起参加加利福尼亚州圣克拉拉举行的API World活动,了解有关 API 的一切。 我将于太平洋标准时间星期四下午 1 点与我的两位同事一起在一场公开会议上发表演讲,主题是“人工智能的世界就是 API 的世界: 保护最现代的现代应用程序”,同一会议将于 11 月 14 日星期四下午 1 点以虚拟方式举行。 

F5 还将主办虚拟会议“API CTF: 了解 API 安全的基础知识”,11 月 12 日星期二上午 9 点。 

不去 API World 吗? 查看我们的API 安全演示。