第三方API是軟件接口,能夠使企業在自己的網站或應用程序上利用第三方功能或數據。技術研究和咨詢機構ISG公司的網絡安全主管Phil Quitugua表示,這些第三方API使開發人員能夠將他們的應用程序或系統與外部服務、數據或功能集成在一起。
一些市場流行的第三方API包括導航應用程序、社交媒體平臺和數字支付處理工具。DataDome公司的產品副總裁Paul Scanlon表示:“這些API是谷歌公司或Facebook公司等第三方提供的,讓用戶可以在自己的網站或應用程序上訪問他們的數據或功能。每個人都喜歡采用API。通過使各種設備和應用程序能夠通過各種通信協議交換信息,API可以幫助開發人員更輕松、更有效地創造出色的用戶體驗。”
雖然API得以普及應用,但存在著安全的致命弱點——根據Saltsecurity公司發布的《2023年第一季度API安全狀況》報告,在過去的一年中,大約94%的企業在生產API中遇到了安全問題,17%的企業遭遇了API相關的漏洞。因此,需要確保第三方API安全性。
為什么確保第三方應用程序的安全如此重要
NCC集團工業和運營技術業務總監Jim McKenney表示,第三方API需要強大的安全性,因為它們可能是弱點。如果它們不安全,可能會泄露敏感數據或導致原始軟件出現問題。
McKenney說,“API安全保護程序之間的通信(例如OpenStreetMap的API)免受網絡威脅。它可以抵御惡意攻擊、未經授權的訪問以及API濫用等新出現的威脅。API安全確保了應用程序之間安全可靠的對話。”
Capgemini公司旗下的Sogeti公司負責洞察和數據的副總裁Doug Ross表示,第三方API安全涉及實施認證、授權、加密和監控等措施,以確保API及其數據的隱私、完整性和可用性。Ross說,“API安全性是軟件開發的一個關鍵方面,因為API經常充當不同系統之間的橋梁,并且越來越多地用于交換敏感和關鍵信息。”
出于許多原因,確保第三方API的安全性至關重要。一方面,API可以訪問敏感信息,例如用戶數據或支付信息。因此,如果第三方API遭到破壞,則可能導致數據泄露,從而影響最終用戶和依賴API的業務。此外,不安全的API可能會使應用程序或系統暴露于漏洞和攻擊之下,從而可能導致系統故障或對資源的不適當訪問。
第三方API的安全性在維護合規性方面也很重要,因為許多行業都有嚴格的數據保護和隱私法規,例如歐盟的《通用數據保護條例》(GDPR)和美國的《健康保險流通與責任法案》。Ross表示,確保第三方API的安全性有助于企業遵守這些法規并避免監管機構的處罰。涉及第三方API的安全漏洞可能會損害企業的聲譽,導致客戶信任的喪失,并可能影響商業伙伴關系。
以下是確保第三方API安全性的五個最佳實踐:
(1)維護包含第三方API的API清單
Bionic公司的安全研究員Jacob Garrison表示,維護API清單,使其在代碼變化時自動更新,這是API安全程序的重要第一步。它應該區分第一方和第三方API。它還鼓勵在不通知安全團隊的情況下持續監控影子IT API。
Garrison說:“為了確保企業的庫存穩健且可操作,應該跟蹤哪些API傳輸關鍵業務信息,例如個人身份信息和支付卡數據。”他表示,API清單是對第三方風險管理的補充。當開發人員使用第三方API時,考慮供應商本身的風險評估是值得的。
他說,“例如,假設企業的數據工程團隊想要發送個人身份數據到Tableau進行分析,在這種情況下,有必要評估該供應商的安全狀況是否在企業的風險承受范圍內。”
Invicti Security公司首席技術和安全研究主管Frank Catucci也認為,包括第三方API的清單是至關重要的。
他說:“企業需要讓第三方API成為其整體API庫的一部分,必須把它們視為自己擁有和負責的資產。所以,確保準確地了解哪些API在哪里運行以及它們在做什么是重要的第一步,因為人們無法保護自己看不到的物品。”
(2)調查第三方API供應商
McKenney表示,企業應該選擇具有強大安全措施的信譽良好的提供商,監控可疑行為的API活動,并使用加密措施。例如,只使用來自可信提供者的支付處理API,定期監視API日志中任何異常活動,并確保通過API發送的所有敏感數據都是加密的。
Lexmark公司的首席信息安全官Bryan Willett表示,對于第三方來說,建立供應商安全管理流程非常重要。他說:“這個過程應該與企業的采購過程緊密結合起來,這樣所有的供應商和合同都要經過這個過程。這個過程應該由幾個子過程組成,包括供應商風險評估、供應商安全評分、持續監控以及合同審查,以確保條款符合企業的風險承受能力。”
(3)確保第三方API的供應商安全測試
Willett表示,重要的是,企業要建立供應商的通用安全控制,以及跨第三方API生命周期不同階段的安全控制,以確保適當的保護符合他們的風險承受能力。
他說:“例如,人們希望看到安全開發生命周期從培訓到整個交付過程根植于企業文化中,以確保從一開始就考慮到安全問題。”Willett表示,這些應該包括解決由供應商開發的源代碼和產品中包含的開源庫所產生的風險的實踐。
Willett說:“用戶希望看到供應商有良好的安全測試實踐,使用最新的工具來執行靜態代碼分析、模糊測試和漏洞掃描。在運營領域,希望看到強有力的變更管理流程的證據,對數據進行適當的訪問控制,并實施零信任原則。”
供應商還應該有成熟的漏洞管理程序來監控補丁的操作環境,并有一個明確的服務級別協議來確定何時修補漏洞。
(4)自己測試第三方API
Catucci表示即使企業不編寫第三方API,也不控制它們,他們仍然可以像測試自己的API一樣測試它們。例如,企業可以使用動態應用程序安全測試功能來掃描第三方API,以查找已知的漏洞、易受攻擊的組件或可能存在于這些API中的過時組件。
他說,“即使用戶沒有擁有它們,也必須對它們進行測試,如果發現第三方API有特定的漏洞,用戶可以阻止該功能,或者在修復之前不要使用這個API。”
(5)API密鑰的輪換
Willett表示,另一個安全考慮是API密鑰的輪換。當用戶調用第三方API時,他們必須為他們的請求提供一個唯一的字符串,這稱之為密鑰。這個字符串告訴供應商哪個客戶正在進行呼叫。有兩個主要原因需要定期輪換密鑰。
Willett說,“首先,惡意行為者攔截用戶的API密鑰,然后他們可以代表生成請求。根據第三方使用的安全協議,這個密鑰可能足以提取與用戶的帳戶相關的敏感信息。其次,第三方API需要支付費用。API密鑰用于計費目的。惡意行為者可以使用用戶的密鑰快速觸發API請求,從而提高其賬單。基于這兩個原因,API安全程序應該包括定期的密鑰輪換。”
企業需要保護API
基于API的網絡攻擊非常復雜,需要同樣強大的防御。此外,ThreatX公司的安全策略總監兼首席信息安全官Jeremy Ventura表示,現在第三方入侵比以往任何時候都更加突出。
他說:“許多引人注目的安全漏洞(例如Peloton和Nissan)都是由未受保護的API造成的。攻擊一些企業的供應鏈對那些想要進入網絡的網絡罪犯來說非常有吸引力。”
Ventura指出,對于企業來說,了解第三方API安全威脅不僅僅是一個IT問題,而且是一個影響所有企業和客戶核心業務的至關重要的問題。
