API 安全状态

API安全状态 软件供应链仍然是任何负责或受应用程序安全影响的人的首要考虑因素。考虑到这一点，Syopsys联合发起了一份由企业战略集团（ESG）进行的报告，“走线：GitOps和左移安全。这份多客户端开发人员安全研究报告研究了应用程序安全的当前状态，以识别行业垂直领域的新兴趋势，并更好地了解组织如何在当今的环境中挣扎并取得成功。 IT 40% 30% 30% 应用程序开发 人员 网络安全决策者 ESG调查了350名专业人士... 在北美的中型(100至999名员工)和企业(1000名或更多员工)组织 中。 在研究了调查结果之后，我们确定API是受访者供应链安全工作中关注的一个明确主题。本电子书更深入地探讨了ESG报告中与API相关的发现，并提供了我们的分析和建议，以帮助您改进自己的API安全策略。 1 FindingAPI安全是跨垂直领域的一大关注点 当被问及其云原生应用程序堆栈的哪些元素最容易受到损害并对其组织构成最大风险时，API 最常被称为最重要的问题。 我们采取 在调查中，API是最受关注的安全问题（45％），数据存储库和内部开发的应用程序源代码分别略低于42％和38％。更简单地说，受访者更关心他们的API的安全性，而不是他们的应用程序安全工作的任何其他方面。ESG对这一发现进行了评论，指出“云原生网络安全威胁形势正在加剧。”这支持了Synopsys的信念，即API将继续成为负责应用程序安全的人员的首要问题和持续挑战。 当被问及“未来12到18个月，贵组织在云原生应用程序安全方面的首要投资重点是什么？”受访者明确表示，他们打算立即采取行动来加强其API安全活动。30％的人将“发现和检查源代码中的API”列为首要任务，另有31％的人将“应用运行时API安全控制”列为主要重点。这意味着超过60 ％的安全计划优先级围绕API。 这个问题很好。API是组织在Web上公开其核心服务的主要方式。尽管这是必要的，但它也邀请了大量的利用机会。 •粗心的编码/开发实践允许在应用程序开发期间引入错误。 •使用开源和其他第三方库和组件可能会无意中在核心系统中引发漏洞。 •当应用程序在生产环境中运行时，如果API没有得到充分的保护，不良行为者可以很容易地瞄准它们。 Recommendations 重要的是要强调Web防火墙和监控工具不足以保护API。有效的API安全性需要的远不止于此。该设计阶段应包括适当的API策略,这些策略被纳入组织的整体业务风险计划。 45% API是该调查中最受关注的安全问题 拥有组织中所有基于API的应用程序的完整和最新清单可以帮助您控制质量，确定API风险分类，并有效使用评估活动。分类还使您能够专注于风险最高的API，从而帮助您最大限度地减少浪费的时间和精力。 也许最关键的——也是今天经常被忽视的——是连续的、实时的API测试和验证。理想的API安全程序应该能够连续地动态测试、验证和分类。要了解更多关于将API安全性作为其自身生命周期来管理的信息，请阅读我们最近的文章。 FindingOrgs最近发生了API安全漏洞 2当被问及他们的组织在过去12个月中是否经历了与内部开发的云原生应用程序相关的网络安全事件时，38% 的人表示他们面临着由于API不安全而导致数据丢失的攻击。 我们采取 大多数受访者指出，他们的组织在过去一年中面临各种安全事件，这些事件与他们内部开发的云原生应用程序有关。最常引用的事件类型与API的不安全使用有关。38％的受访者因API使用不当而导致数据丢失，这一比例远高于任何其他类型的网络安全事件。 当你考虑现代开发模式时，这一发现并不奇怪。微服务开发框架、无服务器技术、容器等都是由许多使用各种语言、框架和API开发的小功能组成的。结果是拼凑而成的碎片，形成一个整体。这意味着没有一刀切的解决方案可以用于保护API。安全程序必须是多方面的，并根据每个组织的特定环境和依赖关系进行定制。在这个必然复杂的环境中，API安全可能仍然是一个痛点，也是安全团队的优先事项。 Recommendations 从风险管理的角度来看，API安全计划的有效性源于总体安全文化，包括整个软件开发生命周期(SDLC)中的针对性活动。尽管没有简单的解决方案可以解决所有API安全挑战，但在保护API时，有一些重要的注意事项。 •API发现/清点。识别后,您应该专注于对它们进行编目;全面的API目录将使您能够轻松评估安全扫描的结果,并建立风险框架和策略集。 38% 38％的受访者因API使用不当而导致数据丢失 但是发现和清单不能仅依赖API文档。文档通常不完整或错误。查找从未记录过的应用程序公开的端点。它们可能已被遗忘，并且不太可能安全，尤其是如果它们以前不在要评估的端点列表中。 •API评估覆盖率。虽然对API和API中的端点进行编目是一个很好的开始，但如果您无法跟踪对API的评估，这种努力是徒劳的。如果您无法确定您测试了哪些API以及评估了这些API中 的端点数量，那么您无疑会面临不必要和可避免的风险。评估活动应该是可跟踪和可验证的- 您必须能够验证您扫描的所有API及其所有端点。 •API评估。API评估的最佳方法从三个开始 questions. –哪些应用程序或资产对业务最重要？专注于这些应用程序或资产，以保护数据免受未经授权的访问。 –你有办法跟踪可调用的API，你测试它们吗？ –你的API是内部开发的吗？如果是这样，你可以对他们的访问应用更严格的控制。那些是第三方的是你无法控制的。 •API集成。开发和分析您的API策略。您是否在使用身份和访问管理工具以及加密？您是否在DevOps工具链中有效地实现了API安全性？您应该尽一切努力确保这两个问题的答案都是肯定的。 •API测试和修复。从部署到生产，您是否有办法测试、检测和防止易受攻击的API？ Finding 3 开发人员负责API安全 当被问及谁主要负责发现和检查源代码中的API时，41%的人说开发人员，而40%的人说安全团队有这个 当被问及谁对应用运行时API安全控制负有主要责任时，44%的人表示这是开发人员的责任。 我们采取 左移意味着团队在开发生命周期中更早、更频繁地执行安全工作。这一直是将安全责任推给开发人员的关键驱动力。这并非没有挑战；虽然68%的受访者认为开发人员支持是他们组织中的优先事项，但只有34%的安全受访者对开发团队承担安全测试的责任充满信心。 虽然开发人员更多地参与安全活动和流程有明显的好处，但也有一些障碍需要克服。与开发人员承担更多安全任务有关的最常见挑战包括开发人员将被这些任务负担过重（44％），以及他们执行这些任务的资格不足（42％）。提到的另一个挑战是，这些努力最终将为网络安全团队带来更多的工作(43%)。 传统上，开发人员没有安全责任，所以这是他们需要获得的新技能。他们中的大多数人没有积极主动的方法来编写安全代码，并在完成开发后将其视为事后的想法或琐事。 对于API，必须由开发人员负责，因为他们负责构建API的规范、函数和调用。鉴于他们对API是如何构建的非常了解，他们也是最有资格修复它们的。有些人认为，在开发后尝试解决API问题几乎是不可能的。我们认为，虽然不是不可能，但在开发后执行修复和发现设计弱点肯定不是理想的。因此，与安全专家合作 ，在设计阶段尽早仔细考虑和规划至关重要。 Recommendations 当开发人员解决API安全性时，显然存在一个挑战，无论是开发人员现有的技能还是安全团队对开发人员执行能力的信心。如果没有适当的工具来支持在 SDLC的设计阶段执行安全性，这种信心的缺乏可能会很好地解决。 传统上，静态应用程序安全测试（SAST）用于此阶段，但它无法以大多数组织所需的速度和规模保护API。此外，SAST工具无法提供有价值和必要的反馈，例如实时补救指导和报告。 关于向左移动还是向右移动是减少API漏洞的最佳方法存在争议，也就是说，在编码活动中进行早期测试还是在生产过程中进行测试最有效。我们相信，你应该在正确的时间进行正确的测试，而不是所有的时间进行测试。具体来说，您应该在IDE和CI管道中直接在编码过程中以及开发人员开始编写代码之前实现解决漏洞的工具。这有助于确保执行安全的设计实践（如威胁建模）。我们相信，如果您的API没有威胁模型，它就不是真正安全的。 最终，目标是确保您没有运行妨碍您的流程的慢速工具。安全SDLC中不同阶段的不同测试将提供不同的信息，并且执行它们都很好。但这并不意味着您可以运行每个测试，每一秒-或您应该想要的。 Finding大多数组织依赖于内部开发的API安全性 4解决方案 当被问及他们的组织主要使用什么控件来发现和检查源代码中的API时，38%的人表示他们使用内部开发的解决方案。 我们采取 使用内部开发的解决方案来解决API安全性是安全性程序中不成熟的指标。复杂或自定义的需求也可能促使组织将自己的临时解决方案拼凑在一起，以解决更大的安全问题。研究结果1和2清楚地表明，API安全性非常令人担忧，并且对于调查对象来说效果不佳。因此，不难认为，这些内部开发的解决方案要么平淡无奇，要么无法执行受访者成功保护其API所需的所有功能。特别是在更大的规模上，组织受益于企业应用程序安全工具，这些工具可以随着其增长和速度而扩展。 Recommendations 在开发人员掌舵的情况下（如Fidig3所示），组织可能会将其监控解决方案与以开发人员为中心的安全工具集成在一起，以帮助加快补救工作。这可能有助于提高效率，因为可以在不要求多个团队花费大量时间的情况下修复安全问题，但这些工具可能无法充分扩展。45%的人指出API安全是他们最关心的问题，38%的人在过去一年中报告了成功的攻击，但事情似乎并没有奏效。 然而,存在可以提供必要的覆盖的解决方案。 •交互式应用程序安全测试(IAST)。交互式测试是根据特定语言（Go，Python，Java等）为客户环境量身定制的，误报较低，并提供在后台运行的代理。一个好的IAST工具可以识别文档化和隐藏的API端点，并测量攻击面的测试覆盖率。 •模糊测试。协议或模糊测试可检测Wi-Fi、蓝牙和物联网(IoT)等特定通信技术中的未知漏洞。 Synopsys如何提供帮助 Synopsys搜索者®IAST测试API，如REST、GraphQL等。在正常开发和QA测试期间，它自动检测和显示所有API路由和端点，并且在DevOpsCI/CD管道中也运行良好。它提供实时警报以及所有入站和出站呼叫的可视数据流图，以及详细的代码行见解，有助于确保及时进行开发人员补救。Seeer提供的持续测试和验证使DevSecOps团队能够以最小的工作流程摩擦快速做出反应。 除了Seeker，Synopsys还提供完整的端到端扫描技术，可帮助保护您的云原生应用程序。CodeSight™轻量级SAST使开发人员能够在其IDE中即时检测和修复易受攻击的代码。覆盖率®静态分析和黑鸭®软件成分分析有助于保护基础架构即代码(IaC)、容器化应用和映像。 SyopsysWhiteHat™Dyamic是一种软件即服务(SaaS)动态应用程序安全测试(DAST)解决方案，可让您部署可扩展的Web安全程序。无论您拥有多少个网站或更改的频率如何，WhiteHatDyamic都可以扩展以满足任何需求。它为安全和开发团队提供了对QA和生产中应用程序的快速、准确和连续的漏洞评估，应用黑客用来发现弱点的相同技术，以便您可以在坏人利用它们之前对其进行补救。 WhiteHat还提供与流行的错误跟踪系统、安全信息和事件管理解决方案、治理、风险和合规性产品以及Web应用程序防火墙的集成。 想阅读更多吗？ 在此处查看完整的ESG报告，或阅读我们关于API安全性的最新评论。 |synopys.com|7 Synopsys的区别 Syopsys提供的