《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 提升API安全性至關(guān)重要 RASP如何為企業(yè)API安全策略打開局面?

提升API安全性至關(guān)重要 RASP如何為企業(yè)API安全策略打開局面?

2022-11-12
來源:安全419
關(guān)鍵詞: API RASP

  美國聯(lián)邦網(wǎng)絡(luò)安全審查委員會最近的一份報告指出,當(dāng)前Log4j漏洞對產(chǎn)業(yè)界的影響并未結(jié)束,這一漏洞或許在未來十年甚至更長的時間內(nèi)持續(xù)引發(fā)安全風(fēng)險,誰也不知道下一個Log4j或Spring4Shell漏洞何時會出現(xiàn)。唯一能夠確認的是,在接下來的每一次0Day安全事件中,組織內(nèi)部的應(yīng)用程序和編程接口 (API) 都將受到全面破壞。

  隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,API作為連接服務(wù)與傳輸數(shù)據(jù)的核心通道,在企業(yè)的發(fā)展過程中愈發(fā)重要的角色。但事實上,API可能具有與傳統(tǒng) Web 應(yīng)用程序幾乎相同的所有漏洞,包括 SQL 注入、服務(wù)器端請求偽造、不安全的反序列化等等,其背后隱藏著不可忽視的安全風(fēng)險。

  API安全當(dāng)前主要面臨以下四個方面的嚴峻挑戰(zhàn):

  01 真正的攻擊很難識別。每個 API 都有其獨特的漏洞,只能通過特定的攻擊來利用。比如,對一個 API 完全無害的 HTTP 請求或許對另一個 API 可能是毀滅性的;

  02 現(xiàn)代 API 使用的格式十分復(fù)雜,如 JSON、XML、序列化對象和自定義二進制格式等。這些請求使用 HTTP 之外的各種協(xié)議,包括 WebSocket,它由瀏覽器、富客戶端、移動應(yīng)用程序和許多其他來源中的 JavaScript 生成。

  03 傳統(tǒng)的防御根本無效。Web 應(yīng)用程序防火墻 (WAF) 通過在 HTTP 流量到達 API 服務(wù)器之前對其進行分析,從而完全獨立于 API 運行。盡管大多數(shù)大型組織都有 WAF,但許多組織缺乏進行必要調(diào)整以保持其運行所需的團隊和專業(yè)知識,只能將其置于“日志模式”。

  04 軟件正在快速發(fā)展,容器、基礎(chǔ)設(shè)施即服務(wù) (IaaS)、平臺即服務(wù) (PaaS)、虛擬和彈性環(huán)境出現(xiàn)爆炸式增長。新的信息技術(shù)應(yīng)用允許快速部署 API,但它們也進一步擴大了代碼暴露面。

  因此,為了應(yīng)對API安全帶來的挑戰(zhàn),避免給業(yè)務(wù)造成無法承受的損失,組織必須積極對已知和未知的漏洞進行探測和防御,阻止攻擊者每一次對利用漏洞發(fā)起攻擊的意圖。

  RASP技術(shù)如何補充

  傳統(tǒng)安全方案在API方面的不足

  隨著API安全理念的興起,網(wǎng)絡(luò)安全企業(yè)都逐漸豐富了在API領(lǐng)域的防護能力,但業(yè)內(nèi)一些傳統(tǒng)的入侵檢測方案和傳統(tǒng)的應(yīng)用防火墻(WAF)在進出API接口分析流量和數(shù)據(jù)方面的表現(xiàn)仍然不佳。

  相較而言,運行時應(yīng)用程序自我保護 (RASP)技術(shù)正在API安全防護中承擔(dān)越來越多的工作。RASP 提供了兩個關(guān)鍵功能:

  首先,它可以準確了解攻擊組織的人在組織的 API 上使用的攻擊向量,以及組織的哪些 API 是攻擊者正在嘗試突破的目標(biāo)。其次,RASP 可以在漏洞利用的環(huán)節(jié)阻止攻擊者,這一能力在當(dāng)前大多數(shù)主要類別的漏洞,包括零日漏洞和自定義代碼漏洞方面都能夠發(fā)揮作用。

  RASP的工作方式與WAF的不同之處在于,RASP 使用工具將輕量級探針添加到組織的 API 代碼和平臺中,這些探針可以直接測量 API 的安全相關(guān)行為并檢測惡意事件。與部署在邊界的安全防御設(shè)備不同,它可以準確跟蹤攻擊并防止漏洞被利用,從而讓用戶確定攻擊是否實現(xiàn)。

  得益于此,RASP能夠立即檢測、阻止和緩解攻擊,通過分析攻擊行為和上下文來實時保護攻擊,可以無需調(diào)整或重新配置即可抵御廣泛的零日攻擊。通過使用應(yīng)用程序或 API 持續(xù)監(jiān)控自己的行為,RASP 能夠保護 API 免受數(shù)據(jù)盜竊、惡意輸入和行為的影響,同時也無需人工干預(yù)。并能夠為 AppSec、SecOps 和開發(fā)團隊提供準確、詳細的信息,包括有效負載、完整的 HTTP 請求、確切的代碼行、執(zhí)行的查詢、訪問的文件等等。

  作為一種更深入的安全工具,RASP自動將可見性和保護直接編織到 API 中,這極大限度地減少了0Day漏洞帶來的不眠之夜,為開發(fā)和安全運營人員提供了喘息的空間。

  事實上,早在 Log4Shell 和 Spring4Shell 漏洞爆發(fā)的時候,就已經(jīng)證明了RASP技術(shù)的有效性,它從根本上防止了攻擊者通過表達式語言注入和不安全的反序列化等各種方式對漏洞進行惡意的利用。對于用戶而言,無需更新漏洞補丁這件事情的價值已經(jīng)無需多言,再沒有什么安全技術(shù)能夠像RASP這樣讓他們感到安心。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。