(2)调查第三方API供应商McKenney表示,企业应该选择具有强大安全措施的信誉良好的提供商,监控可疑行为的API活动,并使用加密措施 。例如,只使用来自可信提供者的支付处理API,定期监视API日志中任何异常活动,并确保通过API发送的所有敏感数据都是加密的 。
Lexmark公司的首席信息安全官Bryan Willett表示,对于第三方来说,建立供应商安全管理流程非常重要 。他说:“这个过程应该与企业的采购过程紧密结合起来,这样所有的供应商和合同都要经过这个过程 。这个过程应该由几个子过程组成,包括供应商风险评估、供应商安全评分、持续监控以及合同审查,以确保条款符合企业的风险承受能力 。”
(3)确保第三方API的供应商安全测试Willett表示,重要的是,企业要建立供应商的通用安全控制,以及跨第三方API生命周期不同阶段的安全控制,以确保适当的保护符合他们的风险承受能力 。
他说:“例如,人们希望看到安全开发生命周期从培训到整个交付过程根植于企业文化中,以确保从一开始就考虑到安全问题 。”Willett表示,这些应该包括解决由供应商开发的源代码和产品中包含的开源库所产生的风险的实践 。
Willett说:“用户希望看到供应商有良好的安全测试实践,使用最新的工具来执行静态代码分析、模糊测试和漏洞扫描 。在运营领域,希望看到强有力的变更管理流程的证据,对数据进行适当的访问控制,并实施零信任原则 。”
供应商还应该有成熟的漏洞管理程序来监控补丁的操作环境,并有一个明确的服务级别协议来确定何时修补漏洞 。
(4)自己测试第三方APICatucci表示即使企业不编写第三方API,也不控制它们,他们仍然可以像测试自己的API一样测试它们 。例如,企业可以使用动态应用程序安全测试功能来扫描第三方API,以查找已知的漏洞、易受攻击的组件或可能存在于这些API中的过时组件 。
他说,“即使用户没有拥有它们,也必须对它们进行测试,如果发现第三方API有特定的漏洞,用户可以阻止该功能,或者在修复之前不要使用这个API 。”
(5)API密钥的轮换Willett表示,另一个安全考虑是API密钥的轮换 。当用户调用第三方API时,他们必须为他们的请求提供一个唯一的字符串,这称之为密钥 。这个字符串告诉供应商哪个客户正在进行呼叫 。有两个主要原因需要定期轮换密钥 。
Willett说,“首先,恶意行为者拦截用户的API密钥,然后他们可以代表生成请求 。根据第三方使用的安全协议,这个密钥可能足以提取与用户的帐户相关的敏感信息 。其次,第三方API需要支付费用 。API密钥用于计费目的 。恶意行为者可以使用用户的密钥快速触发API请求,从而提高其账单 。基于这两个原因,API安全程序应该包括定期的密钥轮换 。”
企业需要保护API基于API的网络攻击非常复杂,需要同样强大的防御 。此外,ThreatX公司的安全策略总监兼首席信息安全官Jeremy Ventura表示,现在第三方入侵比以往任何时候都更加突出 。
他说:“许多引人注目的安全漏洞(例如Peloton和Nissan)都是由未受保护的API造成的 。攻击一些企业的供应链对那些想要进入网络的网络罪犯来说非常有吸引力 。”
Ventura指出,对于企业来说,了解第三方API安全威胁不仅仅是一个IT问题,而且是一个影响所有企业和客户核心业务的至关重要的问题 。
推荐阅读
- 二胎|papi酱生子后坦言,孩子是改变妈妈的“催化剂”,二胎要有年龄差
- 最强API调用模型来了!基于LLaMA微调,性能超过GPT-4
- 腮红|想到你就脸红 见你不用腮红 <img src=https://mparticle.uc.cn/api/http
- 创建你的第一个使用 OpenAI ChatGPT API 的程序
- React API 和代码重用的演变!
- ChatGPT API 提示指南和优秀实践
- C#控制台程序如何创建不需要IIS托管的HTTP Rest API
- |王思贵妇人设崩塌,被质疑背假包,送检被打脸:第三方机构不靠谱
- 理解并实践RESTful API设计
- 使用开源 Python API 封装器与你的集群对话