日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
2023年API安全技術(shù)發(fā)展的六個“大事件”

API技術(shù)逐漸成了現(xiàn)代數(shù)字業(yè)務(wù)環(huán)境的基礎(chǔ)組成,也是企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展戰(zhàn)略實現(xiàn)的核心要素,幾乎所有的企業(yè)都依賴API進(jìn)行服務(wù)連接、數(shù)據(jù)傳輸和系統(tǒng)控制。然而,API的爆炸式應(yīng)用也為攻擊者提供了更多的方法,而現(xiàn)有的安全工具卻難以檢測和減輕特定于API的威脅,使組織容易受到妥協(xié)、濫用和欺詐的影響。

望花網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)!從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項目制作,到程序開發(fā),運營維護(hù)。創(chuàng)新互聯(lián)于2013年成立到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗,來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

據(jù)網(wǎng)絡(luò)安全廠商Traceable AI最新發(fā)布的報告數(shù)據(jù)顯示,在過去兩年中,由API引發(fā)的網(wǎng)絡(luò)攻擊面正在持續(xù)增加,60%的受訪企業(yè)發(fā)生過與API相關(guān)的安全事件,其中74%的組織存在三次或以上的安全事件。同時,能夠有效識別API活動及用戶行為的企業(yè)不足四成,有57%的受訪企業(yè)表示傳統(tǒng)的安全解決方案難以識別API活動和API欺詐事件。更糟糕的是,61%的受訪組織預(yù)計未來兩年API相關(guān)風(fēng)險將繼續(xù)攀升,但只有33%的受訪組織對有效管理API威脅有信心。

由于API在設(shè)計架構(gòu)上的特殊性,它們無法通過傳統(tǒng)的應(yīng)用安全工具進(jìn)行有效的保護(hù),而是需要企業(yè)安全團(tuán)隊的更全面關(guān)注,并從更廣泛的角度解決API應(yīng)用安全缺口。以下是今年以來6個值得關(guān)注的API計劃、項目和事件,旨在幫助組織改進(jìn)和優(yōu)化API應(yīng)用的安全性。

1、Open Gateway API計劃推出

今年2月,全球移動行業(yè)協(xié)會GSMA推出了GSMA開放網(wǎng)關(guān)(GSMA Open Gateway)計劃,這是一項面向全行業(yè)的API安全性保護(hù)倡議,旨在幫助應(yīng)用系統(tǒng)的開發(fā)者和云服務(wù)商通過開放網(wǎng)絡(luò)API框架,加強(qiáng)與移動運營商的合作,從而更安全地提供對全球運營商網(wǎng)絡(luò)的訪問服務(wù)。研究人員表示,該計劃或?qū)⒊蔀樵苹A(chǔ)設(shè)施服務(wù)與運營商物理網(wǎng)絡(luò)之間的通用安全“粘合劑”。

據(jù)GSMA相關(guān)負(fù)責(zé)人介紹,Open Gatewa API計劃已經(jīng)得到全球超過20家的移動網(wǎng)絡(luò)運營商的支持,包括America Movil、AT&T、Axiata、Bharti Airtel、德國電信、KT、法國電信、威瑞森和沃達(dá)豐等,以及我國的電信運營商中國移動。

2、零信任API安全參考架構(gòu)發(fā)布

今年6月,創(chuàng)新安全公司Traceable AI發(fā)布了零信任API安全參考架構(gòu),這是一個將API安全性集成到零信任安全架構(gòu)的實踐指南。據(jù)Traceable AI表示,該架構(gòu)與NIST零信任架構(gòu)保持一致,確保了兼容性、互操作性和法規(guī)遵從性,幫助企業(yè)組織以可靠的方式實現(xiàn)零信任架構(gòu)下的API應(yīng)用安全性。該架構(gòu)主要概述了如下內(nèi)容:

  • 確定了API級別的零信任關(guān)鍵原則和定義;
  • 明確零信任在API級別方面需要考慮的因素;
  • 組織在零信任部署中實現(xiàn)API安全性的策略。

3、《API安全最佳實踐白皮書》編寫完成

今年6月,F(xiàn)5公司完成編寫并發(fā)布了《API安全最佳實踐:API防護(hù)的關(guān)鍵考慮因素》(API Security Best Practices: Key Considerations for API Protection)白皮書,概述了現(xiàn)代企業(yè)組織面臨的各種API安全挑戰(zhàn)和風(fēng)險,以及安全和風(fēng)險團(tuán)隊可用于加強(qiáng)組織API安全的策略。

白皮書研究發(fā)現(xiàn),API促進(jìn)了去中心化和分布式架構(gòu),為第三方能力集成提供了更多的機(jī)會,也從根本上改變了安全和風(fēng)險團(tuán)隊的運作方式。為了應(yīng)對API安全,新一代防護(hù)方案需要包括持續(xù)監(jiān)控和保護(hù)API端點,以及對不斷變化的應(yīng)用程序生命周期做出反應(yīng)。

電子書傳送門:

https://www.f5.com/go/ebook/api-security-best-practices-key-considerations-for-api-protection

4、《Web應(yīng)用安全性指南》聯(lián)合發(fā)布

今年7月,澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA) 以及美國國家安全局(NSA)聯(lián)合發(fā)布《Web應(yīng)用安全性指南》,警告Web應(yīng)用程序的供應(yīng)商、開發(fā)人員和用戶組織,應(yīng)該高度關(guān)注和避免不安全的直接對象引用(IDOR)漏洞。

IDOR漏洞是一種訪問控制漏洞,允許惡意行為者通過向網(wǎng)站或Web API發(fā)出指定其他有效用戶的用戶標(biāo)識符的請求,來修改或刪除數(shù)據(jù)或訪問敏感數(shù)據(jù)。IDOR攻擊是最常見且危害性巨大的API攻擊形式之一,已導(dǎo)致數(shù)百萬用戶和消費者的個人信息泄露。為此,報告編寫人員強(qiáng)烈鼓勵供應(yīng)商、設(shè)計人員、開發(fā)人員和最終用戶組織盡快實施以下安全建議:

  • 實施設(shè)計安全和默認(rèn)原則,并確保軟件對每個訪問敏感數(shù)據(jù)的請求執(zhí)行身份驗證和授權(quán)檢查;
  • 使用自動化工具進(jìn)行代碼審查來識別和修復(fù)IDOR漏洞;
  • 使用間接引用映射,確保ID、名稱和密鑰不會在URL中公開,并將它們替換為加密強(qiáng)度高的隨機(jī)值;
  • 引用第三方庫或框架時要進(jìn)行安全性盡職調(diào)查,并使所有第三方框架和依賴項保持最新;
  • 選擇Web應(yīng)用程序時要進(jìn)行安全性盡職調(diào)查,遵循供應(yīng)鏈風(fēng)險管理的最佳實踐;
  • 盡快為存在安全隱患的Web應(yīng)用打上補(bǔ)??;
  • 定期進(jìn)行主動漏洞掃描和滲透測試,以幫助確保面向互聯(lián)網(wǎng)的Web應(yīng)用程序和網(wǎng)絡(luò)邊界的安全。

5、OWASP更新API安全風(fēng)險列表

今年7月,OWASP發(fā)布了本年度API安全性Top10榜單,詳細(xì)介紹了企業(yè)面臨的十大API安全風(fēng)險。這是自2019年發(fā)布以來首次更新特定于API的風(fēng)險指南,旨在教育那些參與API開發(fā)和維護(hù)的人員(例如開發(fā)人員、設(shè)計人員、架構(gòu)師、管理人員或組織)規(guī)避常見的API安全風(fēng)險。最新的API安全風(fēng)險列表如下:

  1. 對象級授權(quán)失敗(BOLA);
  2. 破損的身份驗證;
  3. 對象屬性級別授權(quán)失??;
  4. 無限制地資源消耗;
  5. 功能級別授權(quán)失??;
  6. 無限制訪問敏感業(yè)務(wù)流;
  7. 服務(wù)器端請求偽造(SSRF);
  8. 安全配置錯誤;
  9. 庫存管理不當(dāng);
  10. 不安全的API使用。

6、加強(qiáng)API安全生態(tài)系統(tǒng)合作的STEP計劃推出

今年8月,安全公司Salt Security啟動了Salt技術(shù)生態(tài)系統(tǒng)合作伙伴(Salt Technical Ecosystem Partner,STEP)計劃,旨在整合整個API生態(tài)系統(tǒng)的解決方案,并使組織能夠強(qiáng)化自身的API安全態(tài)勢。該計劃旨在幫助企業(yè)開展基于風(fēng)險的API應(yīng)用安全測試方法,將掃描工作集中在高優(yōu)先級的API應(yīng)用上。

StackHawk首席執(zhí)行官Joni Klippert表示:“為了提供強(qiáng)大的AppSec程序,開發(fā)人員需要使用更技術(shù),在將代碼部署到生產(chǎn)環(huán)境之前,簡化查找和修復(fù)漏洞的過程。鑒于API開發(fā)的爆炸式增長,團(tuán)隊需要優(yōu)先考慮并自動化API的安全測試,并以與開發(fā)人員工作流程無縫集成的方式進(jìn)行測試?!?/p>

參考鏈接:

https://www.csoonline.com/article/652754/6-notable-api-security-initiatives-launched-in-2023.html


標(biāo)題名稱:2023年API安全技術(shù)發(fā)展的六個“大事件”
URL鏈接:http://www.5511xx.com/article/djdddso.html