Понедельник, 22 февраля, 23:39
дома безопасность Проблемы безопасности 5 в мире API!

Проблемы безопасности 5 в мире API!

Сегодняшний интерфейс прикладного программирования (API) уже не просто фронтальный, создавая новые угрозы безопасности, а также DevOps.

API

Все API-интерфейсы внутри разные, даже если они используют те же структуры и архитектуры, что и REST. В любой архитектуре «под крышей» протоколы данных всегда разные - даже если структура одинакова.

Возможно, вы слышали конкретные стили протокола, такие как REST, JSON, XML и gRPC. На самом деле это языки форматирования данных и транспорта, которые работают в соответствии с API. Внутри этих форм существует большое разнообразие.

С точки зрения безопасности сам протокол ничего не делает. Чтобы быть эффективными, служба безопасности должна переводить язык и намерения каждого проходящего человека, а не только позволять «пассажирам» свободно перемещаться.

Вот пять проблем с точки зрения защиты API:

Нет двух похожих приложений

Чтобы защитить API, нам также нужно знать, как он был изначально разработан. Он не доступен для чтения только по коду или форматам кодирования. Это чтение и сортировка по слоям и изменениям кода, на которые влияют технологическая сложность и человеческий фактор.

Невозможно представить, как именно разработчик разработал конкретное приложение. Мы знаем, что одна из распространенных платформ API, таких как XML или gRPC, будет использоваться во многих случаях. Тем не менее, типы данных, заметки и логика реализации будут другими.

Анализ данных усложняется вариациями. Чтобы выяснить, как приложение было специально разработано, аналитикам может потребоваться много данных для декодирования. Для декодирования наиболее сложных случаев вам может понадобиться декодировать данные два или три раза. Вы можете найти JSON на одном уровне, но другое повторение того же кода в другом месте. Эти цепочки и уровни кода могут быть огромными.

Плохая связь - разгрузочный трубопровод

Чтобы создать правила защиты API, командам безопасности необходимо точно понимать, что должен делать конкретный API конечной точки и как это делать. Предполагается, что эта информация поступает от разработчиков / разработчиков DevOps, но они часто теряются из-за взаимодействия.

Чтобы понять, как должен работать API, и обеспечить его безопасность, нам нужна документация. Однако поощрение разработчиков к написанию документации API и обработке документов может быть невероятно трудным. Это делает документацию ненадежной.

Когда документация ненадежна, согласовать безопасность с целями бизнес-API сложно. Без бизнес-целей API безопасность может предотвращать или разрешать неправильные вещи. Представьте, что API должен сообщать детали доставки. Команда безопасности может предположить, что данными API будут имя и адрес получателя. Если API включает тег кода UPS или оператора, решение по обеспечению безопасности может предотвратить его атаку, поскольку почтовый адрес обычно не похож на него.

Внутренние API также нуждаются в защите

В дополнение к использованию API-интерфейсов для соединения двух разных систем, API-интерфейсы работают внутренне, реагируя на темпы и масштабы разработки API и новых технологий.

Допустим, вы решили развернуть приложение Kubernetes. Набор внутренних API-интерфейсов будет использоваться для управления отдельными микрофирмами Kubernetes и для отправки данных между отдельными контейнерами. Это создает новые проблемы безопасности и может потребовать общего обзора вашей безопасности.

Теперь ваша безопасность должна защищать как этот внутренний API, так и внешние API. В API управления вы можете добавлять пользователей и ключи или предоставлять доступ к любому серверу, что делает внутренние API уязвимыми. Это означает, что он обрабатывает их безопасность и то, как они ведут себя по отношению к другим API, поэтому равное или большее внимание следует уделять внешним подключениям.

Сервисные API создают дополнительные проблемы

Наш современный век заставляет нас переходить с физических серверов на сервисы облако, Многие из этих облачных (SaaS) сервисов позволяют потребителям подключаться через браузеры, такие как проверка вашей электронной почты на рабочем столе. Многие другие SaaS доступны только через API. Это сервисные API. И они добавили проблемы безопасности, основанные на их большом объеме данных и общих различиях в моделях безопасности и идентификации.

С помощью API сервисов две точки связи принадлежат двум разным предприятиям. Поскольку они не могут доверять друг другу, для защиты каждой стороны необходимо разработать различные модели безопасности и идентификации.

API не являются веб Приложение

API-интерфейсы ведут себя совершенно иначе, чем запросы людей в отношении веб-приложений, что требует новых способов осмысления ландшафтов безопасности.

Представьте, что мы хотим защитить логин API от статических атак на основе учетных данных и хотим заблокировать всех ботов. Однако все клиенты API разработаны как автоматизированные инструменты. Технически это заставляет их работать как боты. Например, интернет-магазин может захотеть иметь ссылки для розничных продавцов, дистрибьюторов или других конечных пользователей. Теперь, чтобы защитить API, решение по безопасности должно распознавать обычных, законных ботов (клиентов автоматизации) от нелегальных ботов. На первый взгляд, все выглядит и ведет себя с традиционными перспективами безопасности.

Мобильный доступ, который получает много трафика от технических ботов, усугубляет растущую проблему различения «хороших» и «плохих» ботов. Для запуска эти боты поступают только с некоторых внешних IP-адресов провайдеров. Защита ботов для API может показаться простым процессом, но на самом деле это огромная задача.

Проблемы безопасности связаны с тем, как быстро развивались API-интерфейсы из простых интерфейсных API-интерфейсов. Это больше не просто или обращено вперед. API в настоящее время полны человеческих отпечатков пальцев, которые растут с каждым днем. Поскольку безопасность API-интерфейсов становится все более сложной, для разработчиков будет важно решать эти проблемы безопасности по мере их создания.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

00: 03: 39

Топ-лист игр Xbox Game Pass на 2021 год

https://www.youtube.com/watch?v=zJLiVBYFACw Μία από τις κορυφαίες πλατφόρμες με παιχνίδια για το Xbox και το PC σας σε προνομιακή...

Цена на биткойн упала на 10.000 долларов за 24 часа

После нескольких недель устойчивого роста цена биткойнов резко упала. Более 10.000 XNUMX ...

iPhone / iPad: как автоматически удалять старые текстовые сообщения

По умолчанию на вашем iPhone и iPad хранятся все полученные вами текстовые сообщения iMessage и SMS. В результате вы могли ...

Tesla: крупнейшая в мире аккумуляторная система добивается прогресса

Новое видео, снятое дроном, показывает, что Tesla продвигается к завершению проекта Moss Landing Megapack, который ...

SonicWall выпускает дополнительное обновление для уязвимости SMA 100

SonicWall выпустила второе обновление прошивки для уязвимости нулевого дня SMA-100, которая, как известно, используется в атаках, и предупреждает, говоря ...

Китайские хакеры клонировали инструмент, принадлежащий NSA Equation Group

Китайские хакеры "клонировали" и годами использовали уязвимость нулевого дня для Windows, украденную NSA Equation Group, говорят ...

Underwriters Laboratories (UL) подверглась атаке программы-вымогателя

UL LLC, известная как Underwriters Laboratories, подверглась атаке с использованием программ-вымогателей, в которой ее серверы были зашифрованы и вынуждены закрыться ...

В сеть просочилось изображение AirPods от Apple третьего поколения

В Интернет просочилось изображение, на котором изображены AirPods Apple третьего поколения. Изображение было анонсировано 52audio. Ей...

Крогер: утечка данных раскрывает данные сотрудников

Гигантская сеть супермаркетов Kroger пострадала от утечки данных после взлома службы, используемой для безопасной передачи файлов ...

Новый брандмауэр Chrome для iOS блокирует вкладки в режиме инкогнито с помощью Face ID

Google Chrome для iOS получает новую функцию конфиденциальности, которая позволяет пользователям блокировать открытые вкладки в режиме инкогнито и ...