在当今数字化时代,API 已经成为企业构建创新产品和服务、提升用户体验的关键基石。作为连接不同系统和应用程序的"粘合剂",API 允许组织无缝集成第三方功能,从而显著提高业务灵活性和敏捷性。然而,第三方 API 也为网络安全带来了新的挑战和风险。一旦被攻破,它们就可能成为数据泄露、业务中断和声誉损失的突破口。因此,有效管理和保护第三方 API 对于确保企业的网络安全态势至关重要。
采用保护第三方 API 的9个最佳实践
在当今快速互联的数字环境中,API已经成为增强功能和丰富用户体验的基础。API安全通常涉及第三方API,而非仅仅是自身API安全。
Gartner的最新调查显示,71%的IT领导者表示在其组织中使用第三方应用程序编程接口(API)。OWASP API 安全将"不安全地消费 API"列为前 10 大风险,也是在强调第三方API风险。
第三方API带来了新的风险,成为新的潜在安全威胁的入口,导致数据泄露、业务中断与财产损失、失去客户信任、监管与合规问题等。而且,与内部开发和维护、安全标准可控的第一方 API 不同,第三方 API 由外部供应商拥有和管理,因此其安全防护也更加复杂。
为了有效保护第三方 API,安全牛认为,组织应该采用以下9个保护第三方 API 的最佳实践:
- 强大的身份验证协议:利用 OAuth 2.0 、OpenID Connect 或SAML 进行安全身份验证。在可能的情况下,实施多因素身份验证(MFA)以增强安全性。
- 对数据进行加密:确保在应用程序和第三方 API 之间传输的所有数据都使用 SSL/TLS 协议进行加密。使用强大的算法(如 AES)对静态敏感数据进行加密。
- 对输入进行验证:实施严格的输入验证检查,以净化和验证传入和传出的数据。这有助于防止注入攻击(如 SQL 注入)。
- 速率限制和节流:为 API 调用设置阈值,以防止滥用并缓解拒绝服务(DoS)攻击。这限制了单个来源在指定时间内的请求数量。
- 监控和日志记录:监控所有 API 交互,以发现异常活动。通过建立实时监控和日志记录,企业可以检测并响应可疑行为。还可使用自动警报系统通知管理员潜在威胁,并确保定期审查日志。
- API 网关实施:使用 API 网关作为中介层来管理访问、实施安全策略,并在需要时应用速率限制,旨在为 API 交互提供了额外的控制层。
- 定期安全审计和修补:及时更新 API 提供商提供的最新安全补丁,并定期审计 API 集成以发现漏洞。
- 确保 API 开发和测试阶段的安全性。安全性应该在 API 开发和测试阶段就得到融入。通过在 API 开发期间执行安全测试,构建这些 API 的第三方组织可以在上线前发现漏洞,从而确保部署时具有更强的保护。
- 确保员工(尤其是从事开发和 IT 工作的员工)了解 API 安全的重要性。定期培训和提高意识可以帮助防止安全漏洞,并提高整体 API 保护水平。
因场景而异打造量身定制解决方案
Gartner在最新的研究报告“根据 3种特定使用场景调整您的第三方 API 安全策略”中,强调了确保第三方 API 流量安全的关键挑战,并指出针对发现并管理向第三方 API 的出站数据流、防范来自第三方 API 的入站流量带来的威胁,以及管理和保护 SaaS 到SaaS 的API 互连三种不用应用场景,应结合实际情况实施量身定制的最佳实践。
对此,Gartner 副总裁分析师 Dionisio Zumer指出,安全和风险管理领导者不应试图用一种技术方法解决所有问题,而应根据具体使用场景调整方法。
应用场景1:发现并管理向第三方API的出站数据流
出站 API 连接将数据发送到第三方服务(如支付网关),存在数据外泄的重大风险,而且由于对外部 API 的控制有限,传统的安全措施往往无法奏效。
敏感信息,如客户或支付数据可能会被无意中暴露。第三方API也可能会危及数据或客户数据的安全。例如,攻击者可能会利用存在漏洞的支付API窃取客户的支付数据。此外,注入恶意负载也可能破坏业务合作伙伴的数据库。
企业通过API向第三方发送数据,通常是从自主开发的应用程序中调用它们。例如在电子商务场景中,提供API的服务可能是支付网关,出站流量将包含用于处理支付的支付数据。从应用程序内部调用API的方式有多种,如直接集成、使用软件开发工具包或Webhook。
针对这一场景,Gartner 建议,要全面监控流量、传输安全(TLS)以及与 DLP 解决方案集成,以检查和控制出站 API 调用。这些措施有助于检测数据泄露,并通过对出站流量实施安全策略来确保合规性。
安全领导者还应与负责采购、供应商管理(SPVM)和第三方网络风险的团队协作,确保对SaaS应用程序进行审查,并符合组织政策。
Zumer认为,安全领导者还必须通过监控这些API交换中的出站流量来识别敏感数据外泄。这可以通过实施数据丢失防护(DLP)功能来实现,其中可能会应用到不同的工具,安全服务边缘(SSE)、DLP和API保护工具都具有一定的DLP功能。考核因素包括:
- 工具是否能够对传输中("即时")的数据进行分类,或者是否能够执行补救措施,如阻止交换、匿名化或加密数据;
- 监控点也可能很重要,因为有些 DLP 工具可能已经部署在能够访问未加密数据流量的网络位置上;
- 安全领导者对工具的配置方式。如果将其设置为一个节流点,它可能会比仅处理特定类型流量或入站流量的工具更好;
- 内部运营和管理因素。组织内部的一些运营和管理方面的考虑会影响到选择哪种 DLP 工具用于监控 API 数据交换。
最后,安全领导者可以使用API提供商提供的机制,对API客户端进行适当的身份验证和授权。至少应优先使用令牌而非API密钥进行授权。评估在特定使用场景中,不透明且可证明所有权的令牌(或至少经常轮换的访问凭证)和证书锁定是否能有效缓解令牌泄露和拦截风险。但也要注意它们可能带来的技术负担,以及对流量检查的影响。
应用场景2:防范来自第三方 API 的入站流量带来的威胁
在此使用场景中,组织从第三方 API(如从 SaaS 提供商或业务合作伙伴处获取信息)消费数据。主要风险在于从 API 接收潜在有害输入,包括恶意负载或损坏的数据。这些威胁可能导致注入攻击、数据泄露或损害后端系统的完整性。此外,如果连接不安全,从第三方 API 接收的敏感数据可能会被拦截,导致信息泄露。
针对这一场景,Gartner 建议实施强身份验证(如基于令牌的授权)、内容检查和安全传输(如 TLS),并考虑反向 API 网关来管理令牌、检查流量并为入站 API 连接提供实时监控。
Zumer强调,安全领导者应执行输入验证。要求开发人员在接收任何输入时(包括来自第三方API的输入)添加输入验证控制。这将防止来自恶意输入的大量攻击,如SQL注入攻击。应用程序安全测试(AST)工具可以帮助自动化这些检查。
使用Web应用程序和API保护工具的Web应用程序防火墙功能,在线路上添加针对注入攻击和其他类型恶意输入的应急措施。
最后,通过与一种或多种反病毒、沙箱或内容消毒和重构解决方案集成应用程序(通常通过互联网内容适配协议或API),对输入进行检测。
应用场景3:管理和保护 SaaS 到SaaS 的API 互连
在此场景中,多个 SaaS 应用程序通过 API 直接经常交换敏感的企业数据。当用户创建未经批准的连接(例如通过自动化工具如 Zapier)绕过 IT 监督时,就会带来重大风险:导致了可见度和控制力的缺失,增加了敏感数据暴露和合规性问题的可能性。此外,组织常常难以跟踪哪些服务在消费哪些 API,从而在安全态势上产生盲点。
Zumer补充,当授权的SaaS应用程序用户通过API将其连接到未经授权的SaaS应用程序时,挑战就更大了。许多组织都难以确定 SaaS 应用程序与未授权的 SaaS 应用程序之间通过 API 建立连接的可能性,更难以监控和控制通过这种连接进行的任何数据传输。其次,SaaS 应用程序之间的 API 连接是在 SaaS 提供商的环境中进行的,组织只能依赖 SaaS 提供商公开的有限信息,无法全面了解连接细节,更无法在连接线路上部署自己的安全控制措施。这种情况的主要风险是SaaS应用程序可能通过API暴露敏感的企业数据,而且该数据可能会被传输到安全部门尚未审查的未经批准甚至未知的位置。
对此场景,Gartner 建议实施能够监控 SaaS 互连、执行治理政策并持续盘点 API 连接的工具。安全服务边缘(SSE)、 SaaS 安全态势管理(SSPM)或反向 API 网关等解决方案可以帮助提供对 SaaS 到SaaS 集成所需的可见性和控制力。
Zumer建议,安全领导者还应通过普查、发布政策和检查流量来发现所使用的SaaS应用程序;通过查询所使用的SaaS应用程序(如果支持的话)来发现恶意SaaS访问令牌,为用户制定并推广关于通过OAuth连接SaaS应用程序的政策。
对于前面的使用场景,安全团队应该与负责SPVM和第三方网络风险的团队协作,确保对SaaS应用程序进行审查并符合组织的政策,如数据安全和第三方共享政策。此外,要对SaaS到SaaS互联进行清点。自动化工具(如SSPM产品)可以帮助确保这是一个持续的过程。
确保第三方 API 流量安全是一个复杂的挑战,需要采取量身定制的、积极主动的方法。无论是管理出站数据流、检查入站流量还是治理 SaaS 到SaaS 互联,组织都需要一种能够提供深度可见性和精确控制的解决方案。
在当今企业环境中,第三方 API 的广泛使用带来了前所未有的安全挑战。第三方 API 安全管理是一项系统工程,需要安全团队深入了解业务需求,并与整个组织的流程和工具相结合,才能真正发挥效用。安全和风险管理领导者只有采取全方位、因场景而异的策略,才能最大限度降低第三方 API 带来的风险,实现安全可控。