日韩人妻无码潮喷视频,日韩一级精品视频在线观看,爆乳在线观看无码av,精品国产一区二区三区在线

<strong id="ga5w8"><cite id="ga5w8"></cite></strong>
  • <b id="ga5w8"></b>

    <source id="ga5w8"></source>
  • <table id="ga5w8"></table>

  • <b id="ga5w8"></b><source id="ga5w8"></source>

    API應(yīng)用數(shù)量已近2億,如何應(yīng)對API蔓延的安全風(fēng)險與挑戰(zhàn)?

    2022年11月04日

    萬圣節(jié)并非僵尸、影子和幽靈出沒的唯一時刻。其實(shí),這些令人厭惡的問題正以API的形式隱藏在企業(yè)的數(shù)字化基礎(chǔ)設(shè)施中,不斷擴(kuò)展組織的網(wǎng)絡(luò)攻擊面。而產(chǎn)生這些可怕的僵尸API、影子API和幽靈API的主要原因就是API蔓延(API Sprawl),這已經(jīng)成為現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的重大挑戰(zhàn)。


    API蔓延的原因

    當(dāng)組織缺乏適當(dāng)?shù)腁PI可見性、治理機(jī)制和生命周期策略時,僵尸、影子和幽靈等可怕的API威脅就會出現(xiàn),并給企業(yè)業(yè)務(wù)開展造成損害。

    揮之不去的“僵尸”API(Zombie API)

    僵尸API是指一些暴露的API或已經(jīng)過時、被拋棄的API端點(diǎn)。當(dāng)一個組織沒有對遷移、棄用和淘汰的舊API進(jìn)行適當(dāng)控制時,這些API可能會永遠(yuǎn)存在,并由此形成“僵尸”API。因?yàn)樗鼈兓旧媳贿z忘和忽略了,沒有任何功能或安全方面的持續(xù)補(bǔ)丁、維護(hù)或更新,因此僵尸API會帶來嚴(yán)重的安全風(fēng)險。事實(shí)上,據(jù)Salt Security State發(fā)布的《API安全研究報告》顯示,僵尸API是組織需要關(guān)注的首要API安全問題。

    藏匿風(fēng)險的“影子”API(Shadow API)

    影子API是創(chuàng)建和部署在安全監(jiān)控范圍外的API端點(diǎn),這些令人厭惡的API有時是從影子IT中產(chǎn)生的。開發(fā)人員通常希望更快地部署API或端點(diǎn)這也造成了影子API大量出現(xiàn)。影子API會帶來的安全風(fēng)險包括:

    無所不在的“幽靈”API(Ghost API)

    幽靈API的概念是指第三方開發(fā)(或代寫)的API,并在組織生產(chǎn)環(huán)境中公開使用。幽靈API可以暴露在任何地方:打包的應(yīng)用程序(商業(yè)的和開源的)、基于SaaS的服務(wù)、基于本地和云的基礎(chǔ)設(shè)施組件(例如虛擬設(shè)備上的admin API)等等。許多組織有意地在其擴(kuò)展基礎(chǔ)設(shè)施中依賴第三方開發(fā)的API,作為其功能數(shù)字供應(yīng)鏈和日常基礎(chǔ)設(shè)施管理的一部分。然而,有時第三方API會在無意中暴露。此外,由于第三方開發(fā)的API并非在完善的devops周期中發(fā)布,因此它們通常沒有得到適當(dāng)?shù)闹卫怼y試、監(jiān)視和維護(hù),這也為應(yīng)用程序帶來了大量的安全風(fēng)險。

    根據(jù)最新研究數(shù)據(jù)統(tǒng)計,目前公共和私人API的應(yīng)用數(shù)量已接近2億,而到2031年,這個數(shù)字可能會超過10億。鑒于這種快速的應(yīng)用增長趨勢,API蔓延問題在各種組織中已經(jīng)表現(xiàn)得非常廣泛,其主要原因包括:

     

    API蔓延的風(fēng)險

    企業(yè)如今依賴的許多服務(wù)都依賴API。如果組織不能將適當(dāng)?shù)腁PI治理部署到位,整個數(shù)字化業(yè)務(wù)系統(tǒng)就會有崩潰的可能。以下是API蔓延帶來的主要風(fēng)險:

    1. 浪費(fèi)時間和資源

    在當(dāng)今高度飽和的商業(yè)世界中,保持競爭力對企業(yè)來說可謂前所未有的重要。因此,領(lǐng)導(dǎo)者必須考慮每一個減少開支和削減成本的機(jī)會。開發(fā)、實(shí)現(xiàn)和部署不需要的軟件,無疑是在燒錢。通過減少API蔓延來節(jié)省資金,可以讓企業(yè)將這些資源投資到更有價值的追求上,從而幫助實(shí)現(xiàn)業(yè)務(wù)增長。

    2. 表現(xiàn)不佳或使產(chǎn)品受損

    未受管理或管理不當(dāng)?shù)腁PI容易導(dǎo)致服務(wù)中斷。通常,API基礎(chǔ)設(shè)施就像紙牌搭成的房子,某一塊的損壞,都可能讓整座房子倒塌??紤]到用戶對系統(tǒng)正常運(yùn)行的期望和需求,這就是為什么需要在API失控之前阻止它蔓延的另一個原因。

    3. 引發(fā)安全風(fēng)險

    未經(jīng)管理和過時的API是網(wǎng)絡(luò)中常見的安全風(fēng)險來源。了解所有API的位置、它們在做什么,以及什么在與什么交互,這對于保障系統(tǒng)安全非常重要。隨著API的數(shù)量和應(yīng)用程序的復(fù)雜性不斷增長,跟蹤API位置將變得愈發(fā)困難。在組織內(nèi)外發(fā)現(xiàn)它們可能很困難,并且會影響到端到端連通性。此外,API還容易出現(xiàn)欺詐和惡意行為。外部API訪問必須持續(xù)驗(yàn)證才能獲得信任,但如果內(nèi)部API密鑰被泄露,攻擊者就能夠輕松訪問關(guān)鍵的基礎(chǔ)設(shè)施和數(shù)據(jù)。

    API蔓延的防護(hù)措施

    API蔓延會加劇企業(yè)在業(yè)務(wù)開展和安全運(yùn)營方面的挑戰(zhàn),需要盡早采取積極的措施應(yīng)對API蔓延。

    1. 制定API治理計劃

    指定一個集中式API管理計劃在防止API失控方面有很大幫助。它還使查找、連接和保護(hù)API變得更加容易,這也有助于避免API蔓延。擁有集中式API治理策略可以幫助組織概念化諸如API架構(gòu)、層次結(jié)構(gòu)等內(nèi)容。實(shí)現(xiàn)企業(yè)范圍的API策略(如速率限制或授權(quán))也更容易。

    2. 集中統(tǒng)一管理API

    跟蹤API本就是件棘手的事情,當(dāng)API蔓延失控時,它會變得更加復(fù)雜。擁有一個集中式API發(fā)現(xiàn)和管理解決方案可以實(shí)現(xiàn)所有API的集中統(tǒng)一管理,這樣每個人都可以快速找到并使用它們,此舉也有助于避免影子API或有風(fēng)險的僵尸端點(diǎn)。

    3. 跟蹤API指標(biāo)

    API架構(gòu)可能很快就變得非常復(fù)雜。根據(jù)規(guī)模的不同,組織可能需要一個完整的開發(fā)人員團(tuán)隊(duì)來跟蹤每個API的位置以及它們的交互方式。通過監(jiān)測API指標(biāo),企業(yè)可以看到所有API在整個組織中的執(zhí)行情況。沒有這一點(diǎn),想要優(yōu)化或保護(hù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)將非常困難。

    4. 在整個組織中規(guī)范API安全性

    目前,90%使用了API的組織都經(jīng)歷了某種不同程度的安全事件。可以說,每創(chuàng)建一個新的API,就可能會為網(wǎng)絡(luò)犯罪分子創(chuàng)造更多的可利用空間。這也可能導(dǎo)致API被誤用和濫用,從而導(dǎo)致API進(jìn)一步蔓延。

    5. 尋求通用的解決方案

    API的采用只會日益增加。因此,最好在問題失控之前就解決API蔓延問題。創(chuàng)建一個通用的解決方案,確保所有API都是可發(fā)現(xiàn)的,并且能夠彼此通信,這將有助于阻止API的蔓延,并緩解許多其他問題。

    6. 遵循API規(guī)范

    遵循API規(guī)范(如OpenAPI)并不復(fù)雜,但卻可以有效減少API的蔓延,因?yàn)樗褂^察發(fā)現(xiàn)API及其所有組件變得更加容易。這大大降低了API在混亂中丟失或被遺忘的可能性。此外,遵循API規(guī)范可以使API應(yīng)用生成自動化文檔,從而進(jìn)一步降低API蔓延的風(fēng)險。


    文章來源:安全牛


    江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com