生活
本地特色
美食养生
求职招聘
特色小吃
家常菜
保健食品
农产品
饮料
蛋糕甜点
火锅
肉类海鲜
新闻
时光记忆
恋恋爱
母婴
测试
科技
电脑
手机
其他
编程
汽车
文化
读书
历史
心得
艺术
高考
跨境电商
跨境交流
跨境市场
跨境百科
跨境头条
玩
NBA
自驾游
徒步骑行
明星八卦
旅了个游
搞笑
游记攻略
美景分享
随手拍
城市风光
英语
英语家园
英语学习
每日一句
有声读物
汽车
搜索
快捷导航
登录
注册
ဆ
热搜词
活动
交友
discuz
本版
文章
帖子
用户
科技
+关注
+发表新主题
Akamai:API攻击形势严峻,出海企业尤其要小心
[复制链接]
作者:
遣诗怀
|
时间: 2024-5-8 19:40:31
|
其他
|
0
114
遣诗怀
当前离线
积分
6075
窥视卡
雷达卡
遣诗怀
2025
主题
2025
帖子
6075
积分
研究生
研究生, 积分 6075, 距离下一级还需 925 积分
研究生, 积分 6075, 距离下一级还需 925 积分
积分
6075
发消息
发表于 2024-5-8 19:40:31
|
显示全部楼层
|
阅读模式
对于经常出差的人,一般都会办理某个航空公司或连锁酒店的积分卡,积累到一定程度可以兑换免费机票或酒店等福利。但是,当某人同时操作同一种积分卡的多个账户时,可能正在进行被称为“账户接管”的API攻击。
API,作为连接客户端与服务端,或者不同应用之间的桥梁,在企业中扮演着举足轻重的角色。它们不仅用于企业内部应用之间的通信,实现不同系统间的数据交换与功能协同;还广泛应用于面向客户端的应用中,如移动应用间的交互、手机与应用程序之间的通信等,每一个操作背后都可能有API的默默支持。此外,企业也常常需要调用第三方API,以获取外部资源或服务,如天气预报、支付接口等。
API攻击趋势深度剖析
然而,随着API在企业中的广泛应用,其面临的安全威胁也日益凸显。根据Akamai在今年3月发布的报告《潜伏在阴影之中:攻击趋势揭示了API威胁》发现,API在Web攻击中所占的比例逐年上升,2023年已接近30%。这一数字的背后,是API作为数据交换的枢纽,其安全性直接关系到企业信息的完整性和保密性。随着越来越多的业务流量通过API进行传输,这一攻击比例有可能继续攀升。
从地域分布来看,欧洲地区的API攻击比例尤为突出,这可能与该地区对API的规范化并鼓励API的使用相关。此外,Akamai还观察到,虽然亚洲和北美地区的API流量也相当可观,但攻击类型和目标却呈现出不同的特点,这可能与各地的业务特点和安全环境有关。
在行业分布方面,商务行业尤其是电商领域成为API攻击的重灾区。这是因为电商业务涉及大量的在线交易和数据交换,API的使用频率和复杂度都相对较高。同时,商业服务行业如功能型网站和物流公司等也面临着较高的API攻击风险。这些行业中的API不仅用于内部系统间的通信,还常常需要与外部合作伙伴进行数据交换,因此其安全性尤为重要。
至于攻击手段,Akamai发现针对HTTP协议的漏洞和利用活动会话是最常见的攻击方式。此外,数据挖掘和本地文件包含等方法也占有一定的比例。这些攻击手段的不断翻新和变化,给企业的API安全防护带来了极大的挑战。
构建API防护体系的核心要素
API在企业中的应用广泛而深入,但随之而来的安全威胁也不容忽视。为了保障企业的信息安全和业务连续性,企业需要不断加强API安全防护措施,提高安全情报部门的应对能力,以应对日益复杂多变的网络攻击环境。
Akamai北亚区技术总监 刘烨
在构建API防护体系时,企业应该如何有效地进行API防护?应该关注哪些核心要素?Akamai北亚区技术总监刘烨认为,应该从以下三个方面来思考。
首先,可视性是关键。企业的API是否具备足够的透明度?在各种API调用类型中,有些接口可能因开发者的便利需求而被创建,用于在开发、测试和部署过程中轻松获取数据。然而,当这些开发者离开团队或公司后,这些接口是否仍在使用?它们是否经过了完整的安全审计和合规性检查?在将API推向公网时,企业是否能够清晰地掌握这些API的可见性?企业是否了解所有API的存在、它们的端点以及各自的功能?确保API的可视性是构建防护体系的首要步骤。
其次,漏洞管理是不可或缺的一环。在识别潜在风险点时,需要综合考虑哪些因素可能导致已知的漏洞。这直接关系到企业部署的应用中潜在风险的数量。尽管遵循最佳实践进行开发可以降低漏洞的风险,但人类编写的代码始终存在潜在的安全隐患。即使是知名应用或软件开发商的产品,短期内可能没有漏洞,但长期运行后也可能暴露出安全问题。因此,在开发过程中遵循最佳实践,并确保发现针对漏洞的攻击时,能够行之有效防御至关重要。
最后,业务逻辑保护同样重要。企业是否建立了业务逻辑的基线?考虑到攻击手段的多样性,很多攻击并非直接针对应用本身,而是针对业务逻辑。这种攻击方式可能直接获取到更有价值的信息,并绕过传统的安全防御手段。因此,在构建API防护体系时,务必重视业务逻辑的安全性。
海外扩张中的中国企业:API安全合规策略
随着全球化不断深入发展,以及复杂的地缘政治影响,目前中国企业走出去面临的国际商业经营环境日趋复杂,而且各国监管部门的合规监管执法力度不断加大,合规风险成为公司经营的重要风险。
随着企业出海越来越多的应用基于互联网,数据合规性风险已经成为了企业发展中需要格外注意的风控内容。对于计划或正在海外扩张中的中国企业来说,在API安全合规方面,刘烨认为需要特别注意以下几个问题:
首先,理解并遵循目标市场的法规是至关重要的。不同的国家和地区在数据保护、隐私安全等方面都有各自的规定。例如,欧洲有GDPR(通用数据保护条例),而亚洲的一些国家如马来西亚、新加坡和泰国也有相应的个人隐私保护法规。这些法规对数据的收集、存储、使用等方面都有明确的规定,因此企业在设计应用和业务逻辑时,必须确保遵守这些规定。
其次,企业在海外扩张时,应更多地依赖已达到合规标准的第三方平台。这些平台通常已经过严格的合规性审查,并能提供稳定、安全的服务。相比之下,企业自行开发的安全模型或产品,可能未必经过验证,尤其是在数据收集和分析方面。因此,企业应充分利用这些第三方平台,以提高自身的合规性水平。
此外,企业在API安全合规方面还需要关注因安全原因引起的个人隐私泄露问题。在这方面,企业应采取有效的安全防护措施,针对业务逻辑的防护,内容的访问控制等,以防止数据泄露事件的发生。同时,企业还应建立完善的应急响应机制,以便在发生数据泄露事件时能够迅速响应并采取相应的补救措施。
最后,沟通与合作也是确保API安全合规的重要因素。企业内部应建立有效的沟通机制,确保负责合规的人员、应用开发团队以及管理层之间能够顺畅地交流和协作。此外,企业还应积极与目标市场的监管机构、行业协会等合作,了解最新的合规要求和行业动态,以便及时调整自身的业务策略和技术方案。
Akamai重塑API安全
为了应对日益严重的API安全威胁,Akamai推出了一系列安全产品。其中,通过收购Neosec公司并将其产品升级为API Security解决方案,Akamai为用户提供了强大的API安全保障。该解决方案旨在帮助用户实现以下目标:
·影子API发现:
Akamai能够全面识别并列出所有可调用的API接口,确保用户对API的可见性。
·易受攻击API识别:
当API存在漏洞或风险点时,Akamai的解决方案能够迅速识别并发出警示,促使用户及时采取行动。
·API滥用检测与预防:
通过监控API的基线行为,Akamai能够发现未经授权的访问、异常调用等滥用行为,并及时通知用户进行干预。
据刘烨介绍,在构建这套API安全解决方案时,Akamai采用了创新的旁路架构。用户只需将API数据镜像到Akamai的数据湖中,Akamai的系统即可进行深度行为分析。这不仅使Akamai能够观察到API的请求量、变化趋势等关键信息,还能精准识别潜在的安全风险。
此外,Akamai还提供了ShadowHunt服务,通过主动发现风险点和潜在攻击者,为用户提供更加全面、深入的安全防护。API Security产品专注于行为分析,旨在防范业务逻辑漏洞,使Akamai的安全建议和防护体系更加完善。
“我们的API安全解决方案通过提供多层次的防护手段,帮助用户全面应对API可能带来的各种风险和问题,确保业务的安全稳定运行。无论是保护员工、基础架构、应用和API我们都能够为用户提供专业的安全服务和解决方案。” 刘烨表示。
来源:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
浏览过的版块
跨境电商
发表新帖
回复
楼主新帖
校园智慧体育解决方案包括什么
5·17大会 | 宁波国家级互联网骨干直联点正式开通
WhatsApp注册秒封原因解析及防范和处理策略
如何进行app开发定制的发布与推广?
【未来虫教育】又一个yyds的Python可视化神器
24小时热门
更多>
快速回复
返回列表
返回顶部