跟上黑客是一项耗时的工作。那些具有恶意意图的人似乎总是领先一步 - 或者至少落后于最新的漏洞。
由于可以访问他们提供的数据和应用程序功能,因此API有可能成为您安全装甲的中间环节。因此,API安全最佳实践正在逐步得到审查。
内部安全团队,第三方分析师,白帽子和恶意行为者公开的漏洞通常会对某些安全方法进行重新评估。组织花费数小时,数天甚至数月来设置和调整速率限制,重新配置权限和范围,轮换密钥等,以响应最近一系列与高调的API相关的违规行为。随着每天在企业网络中引入更多API,保持其安全所需的工作量将继续增加。
确保您已制定正确的策略以保证每个API的安全,需要了解应用程序安全风险,例如OWASP Top 10,以及每个API的预期行为应该类似于什么。例如,通常实施速率限制以防止自动拒绝服务(DoS)攻击,并且实施正确的策略需要知道对每个API的典型入站请求。遗憾的是,了解如何使用API的黑客可以设计攻击,以使请求保持在速率限制之下,并保持现有安全基础架构的检测能力。
您可能会发现很难获得每个API的详细操作知识,并且您并不孤单。由于仅在企业网络上有大量的API - 根据我们最近的API安全调查通常超过400个 - 以及它们实现的各种方式,收集和维护API知识是一项挑战。此外,API生产商和消费者之间的关系不断变化,使得建立“正常”消费模式变得困难。
输入人工智能(AI)。通过使用AI算法建立预期API行为的演化基线,您可以检测并阻止对API的攻击。并填补现有解决方案未能识别或防御的安全漏洞。
PingIntelligence for API可帮助您从静态的,策略驱动的安全模型转变为持续的主动API威胁监控和检测。通过应用AI模型来持续检查和报告您的API活动,它能够自动发现异常的API流量行为。它甚至可以识别并响应在基本API安全措施的雷达下飞行的攻击。
如果您像许多企业一样,那么您正在利用API来推进数字化转型计划并抓住新机遇。但所有这些API也是组织中最敏感数据的新入口点,使黑客和僵尸网络更容易窃取和操纵关键信息。
虽然API网关产品可以提供基础安全功能,但它们无法在API上检测到许多网络攻击。但是针对API的PingIntelligence可以。它可以帮助您保护企业免受以下攻击:
(1)登录系统上的凭据填充
(2)僵尸网络抓取数据并发起DDoS攻击
(3)黑客使用被盗的cookie,令牌或API密钥
(4)内部人员随着时间的推移展开数据
说到API安全性,可以说PingIntelligence使您的工作更轻松。最新的更新让您更轻松地体验PingIntelligence。
由于两个主要原因,识别对API的攻击并不容易。首先,API提供比Web应用程序更精细和直接的数据和服务访问。这使基于API的集成高效,但它也使组织面临一种新的API攻击类别,而这些攻击目前尚未准备就绪。糟糕的演员,但竞争也可以利用暴露的功能和数据用于非预期目的。在此示例中,Acme Airways公开公开定价API,以便价格比较网站可以使用此信息。不幸的是,对于Acme来说,他们的主要竞争对手已经部署了一个机器人来“刮”这些数据,意图在改变时使用它来削弱Acme的价格。
其次,在攻击中使用API时,黑客经常在攻击检测系统的雷达下飞行。与使用传统凭证填充方法(如尝试登录数百次直到成功登录事件发生)相比,黑客将使用机器人以编程方式尝试以基于卷的检测系统无法捕获的方式访问API。下面详细说明了这方面的一个例子:
除了作为异常行为传递的许多其他漏洞之外,API的PingIntelligence现在可以防御这两种攻击媒介,使您能够使用这些策略识别和阻止不良行为者。今天,像这样的攻击暴露了API安全性的缺陷,现有的工具 - 如内容交付网络(CDN),Web应用程序防火墙(WAF)和API网关 - 无法检测到。
最近宣布,通过与Apigee Edge完整生命周期API管理平台的边带集成,现在可以使用PingIntelligence for API 。Apigee客户现在可以依靠组合的解决方案来提供全面的API保护。PingIntelligence通过基于每个API的自动API威胁检测和阻止来增强Apigee的客户端身份验证和威胁防护策略。例如,Apigee平台为一系列客户端和目的生成并验证范围OAuth令牌,而API的PingIntelligence确保提供的令牌自首次发布以来未被窃取。
PingIntelligence提供了一个共享流程,用于将Apigee Edge与PingIntelligence集成到API平台。调用共享流的两种机制是流标注和流钩策略。Apigee Edge中的Flow Hook将PingIntelligence共享流全局应用于组织下的环境中的所有API。Apigee Edge中的Flow Call Out策略在组织下的环境中基于每个API应用PingIntelligence共享流。
现在可以通过作为基于云的服务提供的自助服务试验来评估针对API解决方案的PingIntelligence。只需下载轻量级API安全强制实施器 (ASE),即可将API环境与基于云的服务连接起来,然后在API或边带旁边内联部署在PingAccess或API网关旁边。
您可以自己查看API的PingIntelligence如何帮助保护您免受目标API攻击,并通过以下方式改善您的整体API安全状况:
(1)自动API发现
(2)基于AI的API威胁检测和阻止
(3)通过指标和取证报告实现深度流量可见性
(4)威胁仪表板
(5)可配置的API欺骗
本文分享自 nginx遇上redis 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!