Понедельник, 6 июля, 22:22
дома безопасность Проблемы безопасности 5 в мире API!

Проблемы безопасности 5 в мире API!

Сегодняшний интерфейс прикладного программирования (API) уже не просто фронтальный, создавая новые угрозы безопасности, а также DevOps.

API

Все API-интерфейсы различаются внутри, даже если они используют аналогичные структуры и архитектуры, как REST. Под любой «крышей» архитектурой протоколы данных всегда разные - даже когда структура одинакова.

Возможно, вы слышали конкретные стили протокола, такие как REST, JSON, XML и gRPC. На самом деле это языки форматирования данных и транспорта, которые работают в соответствии с API. Внутри этих форм существует большое разнообразие.

С точки зрения безопасности сам протокол ничего не делает. Чтобы быть эффективными, служба безопасности должна переводить язык и намерения каждого проходящего человека, а не только позволять «пассажирам» свободно перемещаться.

Вот пять проблем с точки зрения защиты API:

Нет двух похожих приложений

Чтобы защитить API, нам также нужно знать, как он был изначально разработан. Он не доступен для чтения только по коду или форматам кодирования. Это чтение и сортировка по слоям и изменениям кода, на которые влияют технологическая сложность и человеческий фактор.

Невозможно представить, как именно разработчик разработал конкретное приложение. Мы знаем, что одна из распространенных платформ API, таких как XML или gRPC, будет использоваться во многих случаях. Тем не менее, типы данных, заметки и логика реализации будут другими.

Анализ данных усложняется вариациями. Чтобы выяснить, как приложение было специально разработано, аналитикам может потребоваться много данных для декодирования. Для декодирования наиболее сложных случаев вам может понадобиться декодировать данные два или три раза. Вы можете найти JSON на одном уровне, но другое повторение того же кода в другом месте. Эти цепочки и уровни кода могут быть огромными.

Плохая связь - разгрузочный трубопровод

Чтобы создать правила защиты API, командам безопасности необходимо точно понимать, что должен делать конкретный API конечной точки и как это делать. Предполагается, что эта информация поступает от разработчиков / разработчиков DevOps, но они часто теряются из-за взаимодействия.

Чтобы понять, как должен работать API, и обеспечить его безопасность, нам нужна документация. Однако поощрение разработчиков к написанию документации API и обработке документов может быть невероятно трудным. Это делает документацию ненадежной.

Когда документация ненадежна, согласовать безопасность с целями бизнес-API сложно. Без бизнес-целей API безопасность может предотвращать или разрешать неправильные вещи. Представьте, что API должен сообщать детали доставки. Команда безопасности может предположить, что данными API будут имя и адрес получателя. Если API включает тег кода UPS или оператора, решение по обеспечению безопасности может предотвратить его атаку, поскольку почтовый адрес обычно не похож на него.

Внутренние API также нуждаются в защите

В дополнение к использованию API-интерфейсов для соединения двух разных систем, API-интерфейсы работают внутренне, реагируя на темпы и масштабы разработки API и новых технологий.

Допустим, вы решили развернуть приложение Kubernetes. Набор внутренних API-интерфейсов будет использоваться для управления отдельными микрофирмами Kubernetes и для отправки данных между отдельными контейнерами. Это создает новые проблемы безопасности и может потребовать общего обзора вашей безопасности.

Ваша безопасность теперь должна защищать как этот внутренний API, так и внешние API. В рамках управления API вы можете добавлять пользователей и ключи или предоставлять доступ к любому серверу, что делает внутренние API уязвимыми. Это означает, что он управляет их безопасностью и тем, как они ведут себя по отношению к другим API, поэтому равное или большее внимание следует уделять внешним соединениям.

Сервисные API создают дополнительные проблемы

Наш современный век заставляет нас переходить с физических серверов на сервисы облако, Многие из этих облачных (SaaS) сервисов позволяют потребителям подключаться через браузеры, такие как проверка вашей электронной почты на рабочем столе. Многие другие SaaS доступны только через API. Это сервисные API. И они добавили проблемы безопасности, основанные на их большом объеме данных и общих различиях в моделях безопасности и идентификации.

С помощью API сервисов две точки связи принадлежат двум разным предприятиям. Поскольку они не могут доверять друг другу, для защиты каждой стороны необходимо разработать различные модели безопасности и идентификации.

API не являются веб Приложение

API-интерфейсы ведут себя совершенно иначе, чем запросы людей в отношении веб-приложений, что требует новых способов осмысления ландшафтов безопасности.

Представьте, что мы хотим защитить логин API от статических атак на основе учетных данных и хотим заблокировать всех ботов. Однако все клиенты API разработаны как автоматизированные инструменты. Технически это заставляет их работать как боты. Например, интернет-магазин может захотеть иметь ссылки для розничных продавцов, дистрибьюторов или других конечных пользователей. Теперь, чтобы защитить API, решение по безопасности должно распознавать обычных, законных ботов (клиентов автоматизации) от нелегальных ботов. На первый взгляд, все выглядит и ведет себя с традиционными перспективами безопасности.

Мобильный доступ, который сталкивается с большим трафиком от технических ботов, добавляется к растущей проблеме отличия «хороших» от «плохих» ботов. Для начала, эти боты приходят только с нескольких внешних IP-адресов на основе провайдера. Защита ботов для API может показаться простым процессом, но на самом деле это огромный бизнес.

Проблемы безопасности связаны с тем, как быстро развивались API-интерфейсы из простых интерфейсных API-интерфейсов. Это больше не просто или обращено вперед. API в настоящее время полны человеческих отпечатков пальцев, которые растут с каждым днем. Поскольку безопасность API-интерфейсов становится все более сложной, для разработчиков будет важно решать эти проблемы безопасности по мере их создания.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Windows 10 2004: Несанкционированные настройки «блокируют» обновление

Пользователи сообщают, что у них есть проблема с Windows 10, так как они исключены из приложения обновления от мая 2020 года, когда они вручную пытаются ...
00: 02: 04

Lenovo улучшает Linux ThinkPad, но проблемы остаются

В прошлом месяце, когда Lenovo объявила, что собирается сертифицировать серию ThinkPad для использования с операционными системами Linux, мы сразу подумали ...

Нигерии обвиняют в мошенничестве против американских компаний

Нигериец был доставлен в федеральный суд в Чикаго в пятницу после того, как его обвинили в координации международной системы кибер-мошенничества, которая затронула ...

Домашние маршрутизаторы отображают критические ошибки и запускают непатентованный Linux

Немецкий институт связи Фраунгофера (FKIE) провел опрос, в котором приняли участие 127 домашних маршрутизаторов семи различных брендов, чтобы ...

Выпуск iPhone 12: увидим ли мы его, наконец, к концу 2021 года?

Новые данные о выпуске iPhone 12, который, как мы все ожидаем, не произойдет в сентябре, говорят о том, что он будет только отложен ...

MySQL: заменяет термины, которые усиливают расовую дискриминацию

Разработчики базы данных MySQL объявили, что будут заменять такие термины, как master, slave, blacklist и whitelist.

Генеральный директор инвестиционной компании криптовалюты обманывал

Как сообщает News24, Вилли Бридт, основатель VaultAge Solutions (криптовалютная инвестиционная компания), объявил о банкротстве на прошлой неделе и ...

Великобритания: исключит ли это Huawei из своих сетей 5G?

Правительство Великобритании получило отчет NCSC о Huawei, который может изменить его политику ...

Инженер Yahoo не находится в тюрьме после взлома 6.000 учетных записей

Бывший инженер Yahoo был приговорен к пяти годам тюрьмы за взлом личных аккаунтов ...

PoC-уязвимости, выпущенные для критической уязвимости на устройствах F5 BIG-IP

PoC-эксплойты, выпущенные для критической уязвимости в устройствах F5 BIG-IP Через два дня после публикации информации о критической уязвимости в F5 ...