隨著數位轉型的加速,企業越來越依賴API以實現應用程式之間的連接和數據交換,將組織最重要系統和數據與客戶、合作夥伴、供應商和其他第三方相連。由於這些連接,API已成為攻擊者入侵企業系統的一個新入口點,它們可能被用於數據洩露、身份盗竊、濫用權限等攻擊手法。

 

而傳統的API安全措施已經無法應對現代網路資訊安全威脅(更不用說對大多數企業來說,他們沒有API庫存清單,API通常是無保護的),例如身份驗證漏洞、權限不當使用、跨站腳本(XSS)和跨站請求偽造(CSRF)等。企業正逐漸意識到API的使用量急劇增加,而API成為最新的安全盲點。

 

在2023年,將見證到幾個關鍵趨勢,來重新定義API安全與實踐,Neosec提出了幾個重要的API安全趨勢和解決方案:

  1. 隱私保護,強化身份驗證:網路資訊安全產品有時候為解決既有問題帶來了其他問題,進而損害合規性和風險。因此在解決 API 安全挑戰時,必須以隱私設計理念構建解決方案,確保問題能被解決,不會產生新問題。對此Neosec以記號化(tokenization)的方式確保合規性並降低風險,同時實現對企業API的發現和行為監控。
  2. API存取控制:企業將審查和改進他們的API存取控制策略,確保僅授予合適權限的用戶可以訪問。
  3. 在開發流程中先行佈署安全性:網路資訊安全將從應用程式開發的早期階段開始考慮,而不是僅在應用程式部署後加入風險控制措施。
  4. API自動化、監控和日誌:企業將投資於實時監控和日誌系統,以便識別可疑活動和安全事件。
  5. 教育和培訓:「人為的錯誤」仍然是違規事件的主要原因之一,企業將加強API安全的教育和培訓。

 

閱讀原文:https://www.neosec.com/blog/2023-the-year-of-redefining-api-security