Application Programming Interfaces (APIs): 零信任(Zero Trust) 的軟肋

Written by Dean Phillips | Apr 25, 2022 7:11:46 PM

零信任是保護我們的 IT 資產、企業營運和數據資料的絕佳框架。自從 John Kindervag 首次提出這個想法以來，它已經獲得了很多關注和許多追隨者，並且它幫助各個公司內部的 IT 安全計劃更加成熟。甚至在拜登總統關於改善國家網路安全的行政命令中，政府機構也被指示“推動零信任架構”。雖然提高關注且努力改善是有意義的，但我很少聽到有人將 API 安全性作為其零信任架構的一部分進行討論。如果推動零信任卻不包括 API 安全性，結果就如同留下一道缺口的高牆。

許多組織將安全重點放在終端用戶及其設備、安全策略和流程、防火牆、防毒軟體和入侵偵測/防護系統上。但他們卻忽略了他們的應用程式在做什麼。我們以最近的 Spring4Shell 漏洞來做範例。

Spring4Shell 漏洞

API應用的新發現是可以被修改為一個帶有惡意程式碼的漏洞。對於傳統的安全硬體，應用簡單的邏輯測試，API從表面看起來很正常且值得信賴。但簡單的邏輯測試並不能識別 API 中的惡意修改並識別出漏洞。如果沒有人工來交叉比對和重新設定設備，Spring4Shell 可能會造成重大損害。

我們能一直指望如此快速地識別zero day漏洞嗎？有多少其他 API 可以輕鬆修改並用於繞過安全系統？ Spring4Shell 提醒了所有關注網路安全的人，API 是一個真正的漏洞來源。

總結

我們每天使用的應用程式數量呈指數增長，而且這種增長沒有放緩的跡象。 API 暴露出越來越大的攻擊面。根據 Gartner 2019 年 8 月的報告《API 安全性：保護 API 所需要做的事情》，“ 2022 年起，API 濫用將從少見轉變為最令人頭痛的攻擊管道”。最近的調查證實了這一點：絕大部分公司在過去 12 個月中遭遇了 API 安全事件，通常涉及資料外洩或遺失。如果缺少了API 安全防護這一塊，任何零信任架構的努力都是不完整的。

基於預算考量以及風險還有投資回報評估等各種原因，政府機構通常較不積極採用創新技術。但是，在 API 安全方面，政府機構沒有多餘的時間去等待。威脅態勢正在迅速變化，隨著對零信任的日益重視，現在是時候將 API 安全視為零信任的一部分。比起讓更多的威脅行為者挖掘漏洞，且在安全事件發生後只能收拾事後殘局，我們更應該在事前，在系統中重視API 安全性，就是現在，即刻起身行動。

資料來源

Noname Security Active Testing 是一個針對 AppDev/DevOps 組的新模塊，可幫助將“Shift Left”測試深入到應用程序開發過程中。 通過將 API 測試轉移到應用程式開發過程中，它可以幫助 AppDev/DevOp 團隊將經過徹底測試的 API 發佈到生產中，並避免在開發結束時造成測試瓶頸。 這減少了前期風險和補救工作，從而使 AppDev/DevOps 小組能夠始終如一地維護他們的測試版本。

Nonamesecurity.com

taiwan@nonamesecurity.com