4 tips for å holde API-ene dine trygge

API første strategi og Mulesoft hjelper Pilot Flying J med å bryte ned datasiloer Pilot Flying J bruker MuleSoft, som muliggjør integrering av data fra steder i Nord-Amerika og øker kvaliteten på tjenesten som tilbys kundene.

Så mange av de største bruddene i disse dager involverer API-er, som hjelper til å gi nesten alle favorittappene og plattformene dine.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

APIer har gjort alle livene våre enklere ved å gi selskaper en enkel måte å dele informasjon og data med hverandre. De beste eksemplene er rideshare-apper som Uber og Lyft.

Flere titalls APIer er påkrevd for å gi deg den opplevelsen du krever som kunde, inkludert verktøy som får opp profilen din, kobler appen til bankkontoen din, identifiserer posisjonen din, finner lokasjonen til drivere i nærheten og bestemmer ruter.

"Enhver onlinetjeneste eller mobilapp der du må legge inn kredittkortnummeret ditt, kan bli påvirket av API-misbruk. De vanligste tingene du ser nå, er legitimasjonsstopping og misbruk av programmets logikk, for eksempel bekrefte e-postadresser, kreditt kortnumre eller gavekort, "sier Zane Lackey, medgründer og CSO i cybersecurity-selskapet Signal Sciences.

Implementering av DevOps: En guide for IT-proffer (gratis PDF)

Gartner har allerede gitt ut bekymringsfulle spådommer for fremtiden for API-sikkerhet, og skriver i en fersk rapport at innen 2022 vil API-misbruk bli det vanligste angrepet sett av sikkerhetsteam.

Gartner la til i en annen studie at i 2019 vil 40% av nettaktiverte applikasjoner ha mer overflate for angrep i form av eksponerte APIer i stedet for brukergrensesnittet. Dette antallet vil nå 90% innen 2021 i henhold til spådommene.

Med alle disse forskjellige API-er som sender og mottar så mye verdifull informasjon, er det risiko. Noen av verdens største selskaper administrerer nå hundrevis av APIer og er avhengige av små tredjepartsbedrifter for å tilby kritiske funksjoner for sin online virksomhet.

Etay Maor, sjef for sikkerhetsansvarlige i IntSights, sa at når du graver dypere i mange brudd, peker ofte årsaken tilbake til at APIer blir misbrukt eller får tilgang til av ondsinnede aktører.

"Det var et kjent brudd i fjor på skattemyndighetene, der angriperne brukte en database og lastet ned informasjon om skattebetalerne. Et av de nye systemene som ble lansert i 2014 der sluttbrukere kunne laste ned all informasjonen deres, og det var akkurat det kriminelle gjorde gjennom API, "sa Maor.

"700 000 skattytere ble lastet ned. Noen av angrepene du leste om, hvis du går dypere, finner du ut at det var et misbruk av API, en kombinasjon av sårbare API-er og noen som skaffet en database med brukere og deretter begynte å angripe API-en. "

TechRepublic snakket med sikkerhetseksperter og forskere om fire skritt foretak kan ta for å beskytte sine API-er.

1. Administrer autentiseringer

Utover de grunnleggende sikkerhetstiltak enhver organisasjon bør ha, er en nøkkel til å beskytte API-er å sørge for at du vet hvem som bruker hva og hvem som har tilgang til hva.

Et av de største problemene bedriftene står overfor er legitimasjonsstopping, der krypkriminelle bruker databaser med stjålne e-poster og passord for å bombardere API-er med tusenvis av falske forespørsler.

Lackey sa at etter hvert som flere selskaper flytter til webapper som deres viktigste modus for samhandling med kunder, dreper kriminelle seg mot å angripe API-ene som driver mobilapper.

"Angriperne kjøper nå store stjålne lister over legitimasjon og prøver på nytt mot de tjenestene de kan tenke på, " sa Lackey. "Når de har oppdaget kontoene, vil de deretter angripe forretningslogikken til applikasjonen. Målet deres er 'Jeg vil logge inn på kontoen og oppdatere postadressen til kundekontoen som jeg nettopp stjal, slik at alle varene blir levert til postadressen min. '"

For å beskytte mot denne typen legitimasjonsstopping, bør bedrifter bruke streng multifaktor-godkjenning, ifølge Ben Waugh, sjef for sikkerhetsansvarlige i et helseteknisk dataintegrasjonsselskap Redox.

Redox hjelper helseinstitusjoner å bruke teknologi, som APIer, for å forbedre systemer og dele informasjon. Waugh sa for høyrisikoindustrier som helsevesen, at multifaktorautentisering var et absolutt must, og bedrifter bør gå enda lenger ved å tvinge folk til å bruke lange, kompliserte passord i stedet for de de kommer frem til på egen hånd.

Men på grunn av fremskritt innen den typen teknologi cyberkriminelle bruker, var det ikke nok å bruke telefonnumre som et ekstra lag med sikkerhet.

"Det jeg ser mer og mer av, spesielt for høyrisikosider, er mer og mer SIM-bytte, noe som betyr at folk virkelig trenger å bevege seg fra SMS-basert multifaktor-godkjenning, fordi det for høyrisikomål rett og slett ikke er effektivt lenger, "Sa Waugh.

Open Web Application Security Project lanserte nylig en API Security Top 10-rapport om at nevnte godkjenningsmekanismer "ofte er implementert feil, slik at angripere kan kompromittere godkjenningstokener eller å utnytte implementeringsfeil for å anta andre brukers identitet midlertidig eller permanent.

"Å kompromittere et systems evne til å identifisere klienten / brukeren, kompromitterer API-sikkerhet generelt, " la Open Web Application Security Project-rapporten til.

2. Sjekk autorisasjoner

Nå som mange selskaper administrerer hundrevis av API-er, kan det være vanskelig å følge med på hvem eller hva som er autorisert til å bruke eller få tilgang til viss informasjon.

Waugh sa at bedrifter bør bekymre seg for hvordan informasjon blir overført med API-er. Det er generelt vanskeligere å oppdage angrep på API-er fordi hver API-forespørsel er vanskelig å skille fra andre, og nettkriminelle er et poeng av overveldende systemer med tusenvis av angrep som er forsøkt angitt.

"API-angrep har en tendens til å være mye mer målrettet. De vil følge API-spesifikasjonene, men til slutt er det fremdeles den samme typen angrep som noe annet. Det forsøker fremdeles å få tilgang til en annen indirekte ressurs, så du må forsikre deg om at du er å kontrollere at hver forespørsel er autorisert til å få tilgang til en bestemt ressurs den ber om, "sa Waugh.

"De kan prøve å angripe noen nedstrøms mikroserver eller annen nedstrøms tjeneste gjennom et injeksjonsangrep, " la han til.

"De fleste har APIer i en mikroserverarkitektur, så de overfører forespørsler fra en tjeneste til en annen. Du bør virkelig tenke på og forstå hvilken tjeneste som er ansvarlig for hva når det gjelder å sanitere disse innspillene og håndtere den sikkert helt ned den kjeden. Mange mennesker antar at noen andre deler av systemet gjør noe. "

Foretak bør ha en klar forståelse av hvem som har ansvaret for hva og unngå å anta at noe annet har autorisert det oppstrøms.

I mange tilfeller foretar foretaket autentiseringsdelen, men klarer ikke å håndtere autorisasjonen som er nødvendig for å beskytte seg, sa Waugh.

"De vil si, 'Yup, dette er en gyldig API-nøkkel, derfor må dette være en gyldig forespørsel.' Så vil noen nedstrøms-tjenester håndtere selve ressursforespørselen, og den vil ikke sjekke hvem aktøren som ber om denne ressursen og de vil anta at den første fronten gjorde autorisasjonen, "sa han.

OAS-rapporten la til at "autorisasjonskontroller på objektnivå bør vurderes i hver funksjon som får tilgang til en datakilde ved å bruke input fra brukeren."

3. Organiser oppsettet for sikkerhetsteamet

Hver analytiker nevnte behovet for at sikkerhetsteamene skulle opprette på en organisert måte som involverte hele selskapet.

Lackey, som tilbrakte mange år som CISO med e-handelsnettstedet Etsy, sa at mange av API-sikkerhetsproblematikk selskapene vanligvis har sitt utspring i skillet mellom utviklingsteam og sikkerhetsteam.

Tradisjonelt var sikkerhetsteamene hovedsakelig fokusert på infrastruktur eller nettverkslag og holdt seg generelt borte fra applikasjonene, sa han. Men systemomfattende synlighet er nå et must for hvert sikkerhetsteam.

"Dette har vi lært veldig smertefullt hos Etsy. Hvis du går gjennom digital transformasjon eller DevOps eller en skyreise, er den eneste måten du skaler og effektivt og forsvarer deg selv ved å få synlighet som ikke bare en av disse gruppene kan bruke, men faktisk alle sammen. "

"Du må få synlighet i hvordan folk prøver å misbruke applikasjonene, men det må gjøres på en måte der utviklingsteamene, DevOps-teamene og sikkerhetsteamene alle kan bruke det, " sa Lackey.

Legacy cybersecurity-systemer krevde høyt trente sikkerhetsfunksjonærer for å administrere dem, men mer moderne verktøy utnytter AI og annen teknologi for å lette belastningen for forsvarere.

Shadow IT er et stort problem for selskaper ettersom avdelinger tar fatt på egne prosjekter og tillater tjenester utenfra til en organisasjons system. Waugh bemerket at i det siste ville IT-avdelinger håndtere alle eksterne kontoer og gjennomgå dem for sikkerhet, men de dagene er lenge borte.

"Det er ikke noe som heter IT lenger. Hele virksomheten vår er det vi er ansvarlig for, og hele vår virksomhet jobber tett med IT-sikkerhetsteamet om hva vi ender med å distribuere eller bruke, " sa Waugh.

4. Granske tredjeparter

Selv når foretak gjør alle de riktige tingene og sørger for at alt er beskyttet, kan de fortsatt være i fare for brudd eller angrep takket være tredjeparts tjenester.

Waugh sa at en rettferdig del av bruddene han ser ikke er direkte angrep på et bedriftssystem, men et kompromiss fra en tredjepart som har tilgang til det systemet for å behandle data.

"Som en industri gjør vi en veldig dårlig jobb med å forstå risiko når det gjelder tredjeparter. Så mye som vi jobber for å holde oss sikre, har vi en veldig begrenset forståelse av hvilke tredjeparter vi har der ute. Hvordan sikrer vi oss de?" han sa.

Bedrifter skal ha en grundig forståelse av tredjepartspartnere som får tilgang til dataene sine, sende dem sikkerhetsspørreskjema, forespørsler om sertifiseringer eller krevende rapporter. Men selv dette, sa Waugh, kan fortsatt forlate selskaper sårbare for angrep.

I fjor ble Indias nasjonale ID-database, som har identitet og biometrisk informasjon som fingeravtrykk og irisskanninger på mer enn 1, 1 milliard registrerte indiske statsborgere, utsatt gjennom et sårbart API.

Ifølge ZDNets Zach Whittaker hadde en leverandør av leverandører, Indane, tilgang til Aadhaar-databasen gjennom et API, som selskapet er avhengig av for å sjekke kundens status og bekrefte identiteten deres.

Selskapet sikret ikke API-en, og som et resultat hadde noen tilgang til private data om hver Aadhaar-holder, selv de som ikke var kunder til det aktuelle verktøyet.

Ifølge en forsker var en URL på selskapets domene API's endepunkt, og den hadde ingen tilgangskontroller på plass. Forskeren fant også at API ikke hadde satt opp noen frekvensgrenser, noe som betyr at nettkriminelle var i stand til å jobbe seg gjennom billioner permutasjoner til de lyktes.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com