我们都需要API安全性——以下是原因

Ammune™ 是L7 Defense针对API安全的革命性人工智能解决方案。其先进的机器学习解决方案旨在保护API免受最先进的攻击,同时追踪“零日”​ 对正常交通没有损害的攻击。在本次采访中,L7 Defense联合创始人兼首席运营官伊斯拉尔·格罗斯(Yisrael Gross)讨论了随着世界越来越依赖API通信而出现的安全风险。请描述一下你的背景和公司背后的故事:是什么激发了这个想法,以及到目前为止它是如何发展的</2015年,我和两位合伙人共同创立了L7 Defense。当时,我们的主要任务是找到新的方法来保证互联网流量的安全。从那时起,我们已经走过了漫长的道路,从一个想法到一个高效的产品,安装在欧洲、美国和远东地区。

L7防御保护组织内外的接口。当我说接口时,我指的是API——支持内部和外部通信的应用程序编程接口。

如今,Web和应用程序开发变得越来越简单和容易。你有无数的函数库,后面有一个数据库,你只需将数据库和API连接到应用程序或网站,这就是你设置平台的方式。所有东西都是用拖放元素构建的,留下数十万条隐藏的代码行,并编译成已经包含这些API的小盒子。因为你想把你的公司和其他公司联系起来,你需要链接和API来与其他公司沟通。这需要一些重大的改变,不仅是网站的构建方式,还需要网站之间的连接。

API最近发生了三个重大变化。首先,我们正在见证一场数字化转型——一切都在网上进行,更多的任务正在成为远程完成的可能。客户可以连接到任何业务并获得他们想要的任何功能。数字化转型允许企业与其他公司互动。无论是将产品运送到现场的运输公司、向客户收费的支付系统,还是使用API增强和发展业务所需的其他附加值。

第二个转变是物联网设备的使用,这些设备现在变得越来越普遍。任何连接到互联网的设备都使用API。这样的设备可以是心脏监护仪、智能手表、智能电视或微波炉——所有这些设备都通过API相互通信。

第三个转变是开放银行业务,这意味着银行与其他公司共享他们拥有的数据。如今,全球越来越多的法规涵盖了数据聚合。这意味着他们拥有的关于客户的任何数据都可以在他们之间共享,并且可以由他们中的任何人从一个主要位置提取,例如信用评分。

Open Banking允许银行客户通过连接处理交易的第三方公司,在不登录银行账户的情况下进行在线交易。随着移动银行业务的急剧增长,以及越来越多的金融科技公司联手为客户提供更好的服务,确保其安全变得更加重要。

为了说明API的无处不在,Akamai研究发现87%的全球互联网流量是通过API传输的。就手机而言,这个数字是100%。你手机上的每个应用都是通过API进行通信的。这使得它们成为威胁参与者的一个有吸引力的目标,可以去流量和资金都在的地方。

Gartner最近的报告指出,到2021,API攻击将从所有攻击的40%上升到90%。网络安全组织OWASP估计,10次攻击中有9次滥用API漏洞。

关键资产不能受到Web应用程序防火墙(WAF)的保护,因为API是动态构建的,而WAF则更标准、更稳定、更静态。任何规则的变更都必须由组织的安全团队进行审查。一旦添加了新的API,漏洞就会开始蔓延。我们的一个客户是一家大型贸易公司,每月进行1300次更新。这就留下了一个问题:如何确保每月1300次更新?安全团队没有时间和人力检查每一次更新,仅仅依靠API管理工具是不够的。这就是L7防守发挥作用的地方。

下面是一个快速查看电流表™ 仪表板:

Ammune DashboardAmmune Dashboard

假设我给了某人API访问权限,最糟糕的情况是什么

企业主通常有六个担忧。

首先,你需要有可见性,这是L7 Defense为其客户提供的。应始终监控您所有资产的可视性,并了解谁在共享私人信息以及信息的关键位置。如果您可以看到在任何给定时间共享的所有信息,并且希望确保该视图的安全,那么数据需要始终可用。此外,您需要知道数据是根据这些点的服务水平协议(SLA)提供的。这会让你充分了解你分享的所有信息,以及回复所需的时间。

第二个问题是OWASP前20名中的自动攻击。它们可能来自一个每天运行一到两次机器人攻击的僵尸网络,也可能是总计数百万个机器人。这些机器人所做的是在网上打开用户帐户,然后使用这些帐户测试被盗的信用卡。一旦一张卡被验证,他们就可以在任何地方使用它,并为他们想要的任何目的使用它。

API安全性位列OWASP前10名。这是市场上的一个新参与者,我们必须获得完全正确的授权。例如,当有人访问错误的数据时。

接下来,我们有欺诈行为,例如,凭证填充、暴力和其他相对简单的攻击,试图控制一个帐户,然后将其用于在线操作。通常,这些攻击的目标是金融机构,它们可以从许多不同的账户中窃取资金,而不是那些收款较少的私营企业。

下一个问题是典型的攻击类型,例如SQL注入和跨站点脚本,任何web应用程序和API都应该受到保护。

最后一个问题与应用程序级别的拒绝服务(DDoS)攻击有关。这些攻击针对所有类型的组织。如果API支持您的主通信渠道,那么您希望它始终可用并及时响应,这意味着SLA需要非常快。如果登录按钮在系统上运行的时间较长,则攻击者会显著影响登录。这让客户感到沮丧,所以他们会去竞争对手更方便的网站或应用程序。例如,如果被攻击的服务是一个食品订购应用程序,在午餐时间发起这样的攻击会给竞争对手的应用程序带来不公平的优势。

这些攻击之所以如此危险,是因为不需要大规模的竞选攻击。找到那些对服务运行至关重要的小请求就足够了。这些请求中只有一小部分会在试图响应时淹没服务器,这就是服务器被关闭的方式。

这是需要自动化安全和支持的组织面临的六大风险。我们在L7 Defense确保您的API是安全的。我们的使命是为所有API提供标准的安全性。

你认为公众是否意识到网络隐私和安全风险?企业界和商界是否有足够的意识

作为客户,我们开始习惯于看到数据泄露;这已经成为生活中的事实。结果是责任转移到了保险和信用卡公司。作为客户,我们的信用卡公司为我们投保,因此,如果您作为客户报告您没有执行特定交易,他们将自动向您报销。客户根本不知道幕后发生了什么,所以他们需要被告知。

作为消费者,您手机上的任何应用程序都会请求信用卡。你向多少应用提供了信用卡详细信息?即使你没有向特定应用提供信用卡,但你正在使用第三方凭据登录该应用,你的信用卡详细信息仍可能被泄露。如果这还不够的话,很多人会将他们的凭证保存在电脑或浏览器上,使其自动可用于在线盗窃。

我们都知道我们需要通过访问安全的网站来保护自己。但当我们使用应用程序时,我们通常需要提供信用卡的详细信息,或者只是拍张照片,然后才能开始使用该服务。这适用于个人消费者,但在商业部门,公司应对此类行为负责。当有人说他们没有要求特定的付款时,保险或信用卡公司会要求该公司退款。

服务提供商非常清楚这种风险,因为他们知道,如果他们的系统被破坏,可能会对业务造成很大的附带损害。

任何使用个人识别信息(PII)的公司都会面临诉讼,因为其持有的信息是一种责任。有时候,信用卡信息是通过第三方支付网关存储的,所以即使是外包的,公司仍然有很多PII需要担心。欧洲和其他国家的PII监管正在给企业施加更大的压力,以确保这些数据不会泄露出去。

您提到了数据聚合的趋势,即大量PII被收集到中央数据库中。我们还看到生物识别技术的实验性和侵入性应用的增加。你对这一切有什么看法

I不会讨论他们是否应该被允许收集数据,但如果他们要收集数据,就必须确保安全。你不能用手指

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注