欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
本周,首先介绍一篇来自The New Stack的文章,讲述如何成为API安全专家所需的技能,主要是需要像攻击者一样进行思考。作者认为,尽管许多安全专业人员对其API清单、威胁变化以及有可能出现的漏洞等情况有足够的了解,但如果他们不能像攻击者一样思考,他们的应对能力就会受到限制。只有像攻击者一样思考,防御者才能预测可能使用的攻击战略和攻击技术,从而能够采用相应的对策和防御措施。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
作者建议安全专业人员学习威胁建模技术,从而更加深刻的了解他们的威胁环境。通常的威胁建模生命周期包括以下阶段:设定目标、分解目标、威胁识别、风险评估,最后是漏洞判定。作者提到两种流行的威胁建模方法:Microsoft的STRIDE方法和DREAD方法。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
STRIDE威胁建模本身对组织很有用,它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
DREAD被认为是STRIDE模型的一个附加组件,该模型使建模人员可以在确定威胁后对其进行排名。对于每个潜在威胁,DREAD代表六个问题:
小阑建议:
无论选择哪种框架,都应遵循一些实践方法。但最重要的(通常也是很难做到的)是将威胁建模作为系统开发过程中的优先事项。如果能在项目开发伊始就做到这一点,以后可以省去很多麻烦,因为安全性可以被“植入”到应用程序或系统中。
首先需要知道什么样的设计是“安全的”,安全设计原则:
更进一步,设计完的系统应具有哪些安全相关的属性:
这是一篇来自Dana Epp的精彩文章,重点关注人工智能(AI)对API黑客的影响。
首先,Dana提出了一个警告,主要针对在开发过程中使用AI(通常是ChatGPT或BingChat)的组织。他强调了亚马逊警告员工不要在编码过程中过多使用ChatGPT作为帮助,以免专有源代码落入竞争对手的手中。
其次他提出,担心GitHub Copilot可能会泄漏闭源知识产权,即使底层存储库设置为私有访问,也会存在相同的问题。这是由于Copilot分析和存储代码片段,已经出现在AI生成的代码例子中。
第三,他提出,AI生成的代码本身可能是恶意的,如果不做测试等操作,不能默认为信任。研究发现,在GitHub上的报告,2017年至2021年间针对已知漏洞(CVE)的概念验证(PoC)利用工具约10%本身可能是恶意的。
红队现在正在探索,使用攻击性AI来自动化侦察、制定个性化的身份冒用攻击、规避安全措施、生成恶意内容或代码、优化攻击策略,甚至自我传播或自我修复。
例如,攻击性AI可以利用自然语言处理(NLP)生成具有说服力的钓鱼电子邮件或社交媒体帖子,诱使受害者点击恶意链接或下载恶意软件;或者利用侦察发现的相关漏洞,生成特意设计的恶意有效负载。
根据Darktrace的一份报告,96%的IT领导者预计攻击性AI的频率和复杂性在不久的将来会增加。此外,60%的IT领导者认为,仅靠人类无法抵御攻击性AI的攻击。目前,网络安全软件供应商正在引导高管采取防御性AI策略来对抗攻击性AI攻击。
Dana介绍了目前市场上可以在安全防御背景下使用AI的解决方案:
小阑解读:
根据文章的内容,小阑猜测,AI对未来安全防御解决方案有一定帮助:
《福布斯》杂志有一篇关于API开发中跨功能团队组件的文章。文章指出,全球API管理市场价值庞大,预计到2028年将达到836亿美元。作者提出,在API创建过程中需要应用更成熟的流程,包括在生态系统中创建更多的角色。
文章的主要观点是,跨功能团队可以帮助实现API经济的增长。尽管API经济有很大的价值,但现如今很多组织还没有真正获得投资回报和价值。如果可以构建一个更多样化的API生态系统,那么可以带来的好处是:
文章确定了八个关键角色,支持重点领域:
小阑分析:
API安全跨职能团队可以补充按全生态链的完整性:
感谢 APIsecurity.io 提供相关内容
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。