专栏首页nginx遇上redis保护您的API的3种方法变得更容易

保护您的API的3种方法变得更容易

跟上黑客是一项耗时的工作。那些具有恶意意图的人似乎总是领先一步 - 或者至少落后于最新的漏洞。

由于可以访问他们提供的数据和应用程序功能,因此API有可能成为您安全装甲的中间环节。因此,API安全最佳实践正在逐步得到审查。

内部安全团队,第三方分析师,白帽子和恶意行为者公开的漏洞通常会对某些安全方法进行重新评估。组织花费数小时,数天甚至数月来设置和调整速率限制,重新配置权限和范围,轮换密钥等,以响应最近一系列与高调的API相关的违规行为。随着每天在企业网络中引入更多API,保持其安全所需的工作量将继续增加。

如何保护您的API

确保您已制定正确的策略以保证每个API的安全,需要了解应用程序安全风险,例如OWASP Top 10,以及每个API的预期行为应该类似于什么。例如,通常实施速率限制以防止自动拒绝服务(DoS)攻击,并且实施正确的策略需要知道对每个API的典型入站请求。遗憾的是,了解如何使用API的黑客可以设计攻击,以使请求保持在速率限制之下,并保持现有安全基础架构的检测能力。

您可能会发现很难获得每个API的详细操作知识,并且您并不孤单。由于仅在企业网络上有大量的API - 根据我们最近的API安全调查通常超过400个 - 以及它们实现的各种方式,收集和维护API知识是一项挑战。此外,API生产商和消费者之间的关系不断变化,使得建立“正常”消费模式变得困难。

输入人工智能(AI)。通过使用AI算法建立预期API行为的演化基线,您可以检测并阻止对API的攻击。并填补现有解决方案未能识别或防御的安全漏洞。

PingIntelligence for API可帮助您从静态的,策略驱动的安全模型转变为持续的主动API威胁监控和检测。通过应用AI模型来持续检查和报告您的API活动,它能够自动发现异常的API流量行为。它甚至可以识别并响应在基本API安全措施的雷达下飞行的攻击。

保护您的API就像1-2-3一样简单

如果您像许多企业一样,那么您正在利用API来推进数字化转型计划并抓住新机遇。但所有这些API也是组织中最敏感数据的新入口点,使黑客和僵尸网络更容易窃取和操纵关键信息。

虽然API网关产品可以提供基础安全功能,但它们无法在API上检测到许多网络攻击。但是针对API的PingIntelligence可以。它可以帮助您保护企业免受以下攻击:

(1)登录系统上的凭据填充

(2)僵尸网络抓取数据并发起DDoS攻击

(3)黑客使用被盗的cookie,令牌或API密钥

(4)内部人员随着时间的推移展开数据

说到API安全性,可以说PingIntelligence使您的工作更轻松。最新的更新让您更轻松地体验PingIntelligence。

更容易保护您的API

由于两个主要原因,识别对API的攻击并不容易。首先,API提供比Web应用程序更精细和直接的数据和服务访问。这使基于API的集成高效,但它也使组织面临一种新的API攻击类别,而这些攻击目前尚未准备就绪。糟糕的演员,但竞争也可以利用暴露的功能和数据用于非预期目的。在此示例中,Acme Airways公开公开定价API,以便价格比较网站可以使用此信息。不幸的是,对于Acme来说,他们的主要竞争对手已经部署了一个机器人来“刮”这些数据,意图在改变时使用它来削弱Acme的价格。

其次,在攻击中使用API时,黑客经常在攻击检测系统的雷达下飞行。与使用传统凭证填充方法(如尝试登录数百次直到成功登录事件发生)相比,黑客将使用机器人以编程方式尝试以基于卷的检测系统无法捕获的方式访问API。下面详细说明了这方面的一个例子:

黑客执行低容量,程序化登录攻击以避免检测

除了作为异常行为传递的许多其他漏洞之外,API的PingIntelligence现在可以防御这两种攻击媒介,使您能够使用这些策略识别和阻止不良行为者。今天,像这样的攻击暴露了API安全性的缺陷,现有的工具 - 如内容交付网络(CDN),Web应用程序防火墙(WAF)和API网关 - 无法检测到。

使用Apigee集成更容易部署

最近宣布,通过与Apigee Edge完整生命周期API管理平台的边带集成,现在可以使用PingIntelligence for API 。Apigee客户现在可以依靠组合的解决方案来提供全面的API保护。PingIntelligence通过基于每个API的自动API威胁检测和阻止来增强Apigee的客户端身份验证和威胁防护策略。例如,Apigee平台为一系列客户端和目的生成并验证范围OAuth令牌,而API的PingIntelligence确保提供的令牌自首次发布以来未被窃取。

PingIntelligence提供了一个共享流程,用于将Apigee Edge与PingIntelligence集成到API平台。调用共享流的两种机制是流标注和流钩策略。Apigee Edge中的Flow Hook将PingIntelligence共享流全局应用于组织下的环境中的所有API。Apigee Edge中的Flow Call Out策略在组织下的环境中基于每个API应用PingIntelligence共享流。

PingIntelligence ASE和Apigee Edge的逻辑设置

更容易尝试自己

现在可以通过作为基于云的服务提供的自助服务试验来评估针对API解决方案的PingIntelligence。只需下载轻量级API安全强制实施器 (ASE),即可将API环境与基于云的服务连接起来,然后在API或边带旁边内联部署在PingAccess或API网关旁边。

您可以自己查看API的PingIntelligence如何帮助保护您免受目标API攻击,并通过以下方式改善您的整体API安全状况:

(1)自动API发现

(2)基于AI的API威胁检测和阻止

(3)通过指标和取证报告实现深度流量可见性

(4)威胁仪表板

(5)可配置的API欺骗

本文分享自微信公众号 - nginx遇上redis(GGame_over_the_world)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • APR-内存池

    从某种意义上讲,内存池强制你遵循一种面相会话(session-oriented)的方式进行编程,一个内存池是一个种会话上下文环境(session context...

    随心助手
  • nginx平滑添加stream模块

    随心助手
  • BPF过滤器

    (1)BPF本质上来说是一个设备驱动(devicedriver),能够被应用程序用来读取网络上通过这个网络适配器的包。但是BPF又是一个特殊的驱动,因为它并没有...

    随心助手
  • 想成为技术大咖?那就从API的使用开始吧

    近几年,API经济纷纷崛起,无论是国外还是国内,众多厂商积极开放API。从2011年开始,数据通过API开发出来已成为一种趋势,与此同时它也逐渐发成为企业的核心...

    BestSDK
  • 【答疑解惑】什么是API?

    有朋友在群里问什么是API?这个问题是很多初学者常常听到但又感觉讳莫如深。 ? API的英文是ApplicationProgramming Interface,...

    程序员互动联盟
  • 警告:有用的警告|让Kubernetes的使用越来越容易

    作为Kubernetes的维护者,我们一直在寻找在保持兼容性的同时提高可用性的方法。在开发特性、分类bug和回答支持问题的过程中,我们积累了有助于Kuberne...

    CNCF
  • REST API工具推荐

    市面上可用的 REST API 工具选项有很多,我们来看看其中一些开发人员最喜欢的工具。

    深度学习与Python
  • API网关在API安全性中的作用

    从单一应用程序切换到微服务时,客户端的行为不能与客户端具有该应用程序的一个入口点的行为相同。简单来说就是微服务上的某一部分功能与单独实现该应用程序时存在不同。

    架构师修炼
  • 《软件测试52讲》读书笔记 —— API测试怎么做

    文章中还介绍了测试工具,比如cURL、postman,单API如何测试;但这些都是偏基础的东西,且网上教程各式各样,就不再赘述了;这里主要讲的就是关于复杂场景的...

    小菠萝测试笔记
  • API安全发展趋势与防护方案

    近些年,API安全在安全领域越来越多的被业界和学术界提及和关注。OWASP在2019年将API安全列为未来最受关注的十大安全问题。事实上随着应用程序驱动的普及,...

    绿盟科技研究通讯

扫码关注云+社区

领取腾讯云代金券