根据最近的 Google Cloud 研究报告,接受调查的组织中有一半在过去 12 个月内经历过 API 安全事件。1 通过 API 进行的帐户接管攻击不断增加,增加了业务风险(导致潜在的收入和客户信任的损失),并通过扰乱交付、部署和维护流程给负责产品发布的应用团队增加了压力。
当组织努力应对基于 API 的安全事件的现实时,许多组织正在寻找直接、实用的方法来应对威胁,而不会破坏其运营工作流程。 他们问道:“我们采取了哪些措施来分析 API 流量、检测机器人和滥用行为以及防止可能导致欺诈或数据盗窃的未授权访问?”
最近,多位应用程序开发人员和安全专家与 F5 和 Google Cloud 进行了一次对话,重点讨论了如何阻止可能通过其应用的众多 API 造成严重破坏的帐户接管威胁。
该网络研讨会——阻止账户接管威胁——加入 API 安全对话——旨在帮助 DevOps 和 InfoSec 团队联手成功应对这些 API 安全挑战。 主题包括:
如果您无法参加现场会议,请不要担心;您可以在此博客文章中了解一些精彩内容,还可以访问点播录音。
随着对话的展开,我们的小组分享了 API 如何产生安全风险以及组织可以采取哪些措施来防止基于 API 的帐户接管。 他们强调,由于目前使用的 API 数量巨大,数字攻击面呈指数级扩大,而许多组织根本缺乏有效保护所需的可视性。 为了获得足够的可见性,我们的专家鼓励组织回答以下问题:
为了有效对抗 API 网络威胁,组织必须找到最佳方式,让 DevOps、InfoSec 和业务团队齐心协力实施保护措施,以免不良行为者成功接管用户帐户。 有效的网络安全计划需要全面的战略,包括正确的工具和情报、强大的跨职能计划、有效的团队协作、评估和衡量进展和态势的能力,以及向领导层和整个组织诚实报告战略运作情况的信心。
为了提高防御能力,我们的专家建议在应用开发和交付期间增加保护措施,并在交付后加入实时监控,以便团队能够在可怕的事情发生之前迅速做出反应。 这种全面的、多层次的方法可以可扩展地捕获多云网络流量和分布式应用和 API 数据,同时自动辨别好坏行为和活动。
最终,API 安全性归结为获得尽可能最佳的可见性并拥有实时运行时智能来正确处理每种情况。
网络研讨会期间的讨论强调,许多 DevOps 和 InfoSec 专家已经了解 API 安全的重要性,并认识到平衡顺畅的客户体验与防止自动化、机器人支持的帐户接管的高级保护的价值。 然而,尽管人们已经认识到了这一点,但许多人仍然在努力寻找有效、可扩展的方法来应对这些挑战。
为了解决这些困难,专家小组提出了一些用例和案例研究,重点介绍了与负责保护其组织期望的应用驱动增长的关键利益相关者进行沟通的最佳实践。 这些策略包括提出战略性、有针对性的问题,例如:
application开发: 您目前如何保护 API 免受帐户接管攻击? 您如何确保 API 不会泄露客户数据或产生合规风险?
安全运营: 您是否完全了解哪些帐户可能存在漏洞? 您是否能够监控 API 流量以发现滥用或泄露的迹象?
网络运营: 您如何保护整个网络基础设施中的 API 流量? 您是否担心恶意机器人或脚本滥用 API?
商业管理: 账户安全对于维护客户信任和防止因欺诈交易造成的收入损失至关重要。 您正在追踪哪些有关违规行为的指标?
大多数 API 驱动的威胁现在都是自动化的,可以快速适应环境的动态变化,并且不断发展,变得更加聪明,能够绕过保护措施并避免检测。 有效的API 安全性取决于组织将先进的自动化保护措施集成到其持续集成/持续交付 (CI/CD) 管道、运营、基础设施和工作流中的能力,而不会给交付流程或用户体验带来摩擦。
Google Cloud 和 F5 拥有解决方案和专业知识,可帮助组织在所有环境(数据中心、云和架构)中以统一的方式打击帐户接管欺诈。 实时运行时 API 保护使 DevOps 和 InfoSec 团队更容易合作:
我们邀请您通过访问网络研讨会“阻止帐户接管威胁 - 加入 API 安全对话”的完整点播录音来了解其他人遇到的 API 安全挑战以及他们采用的解决方案。 我们相信,当您寻求定义和实施更有效的 API 安全程序时,您会找到有关您自己的帐户接管防护措施的许多问题的答案。
如果您有任何其他问题,我们欢迎继续讨论。 联系我们的 F5 分布式云团队的 API 保护专家之一,并务必在此处试用 F5 分布式云 Web 应用和 API 保护 (WAAP) 模拟器: https://simulator.f5.com/s/waap
参考:
1 Google Cloud, 2022 年 API 安全研究报告: 最新见解和主要趋势, 2022