第三方API安全的五个最佳实践
根据Salt Security 2023年一季度API安全状况报告,过去一年中,大约94%的企业的生产API遇到过安全问题。
每当谈及API安全,企业通常会关注如何防护内部编写的API。然而,并非所有企业使用的API都是内部开发的,有些是由第三方企业或机构设计和开发的。一些流行的第三方API包括导航应用程序、社交媒体平台和数字支付处理工具等。很多企业没有意识到,第三方API同样会带来安全威胁,例如恶意软件、数据泄露和未经授权的访问。
第三方API安全的重要性正与日俱增,原因有两点:一方面,第三方API可以访问敏感信息,例如用户数据或支付信息。因此,如果第三方API遭到入侵,可能会导致数据泄露。此外,不安全的API可能会使应用程序或系统暴露在漏洞和攻击之下,从而可能导致系统故障或对资源的不当访问。
第三方API的安全性对于维护合规性也很重要,因为许多行业在数据保护和隐私方面都有严格的规定,例如欧盟的通用数据保护条例(GDPR)和美国健康保险流通与责任法案。确保第三方API的安全有助于企业遵守这些法规免遭处罚。
以下是确保第三方API安全的五个最佳实践:
一、维护包含第三方API的API清单
企业需要维护一个可随代码变更自动更新的API清单,这是API安全计划的重要第一步。该清单应该区分第一方和第三方API,同时加强对影子IT的持续监控,防止企业员工在不通知安全团队的情况下引入API。
API清单也是对第三方风险管理的补充。当开发人员使用第三方API时,需要对提供API的服务商进行风险评估。
二、调查第三方API供应商
企业应该选择具有强大安全措施的信誉良好的提供商,监控API活动以发现可疑行为,并使用加密技术。例如,仅使用来自受信任提供商的支付处理API,定期监控API日志以了解异常活动,并确保通过API发送的所有敏感数据均已加密。
对于第三方API安全,建立供应商安全管理流程非常重要,该流程应包括几个子流程,包括供应商风险评估、供应商安全评分、持续监控以及合同审查,以确保条款符合组织的风险承受能力。该流程还应与企业的采购流程紧密结合,以便所有供应商和合同都经由该流程。
三、确保第三方API供应商拥有良好的安全实践
企业必须建立覆盖第三方API生命周期不同阶段的安全控制,以确保将风险控制在承受能力之内。
理想的供应商应该将安全开发生命周期根植于企业文化中,覆盖从从培训到整个交付过程,从一开始就充分考虑了安全问题。企业希望看到供应商拥有良好的安全测试实践,使用最新的工具来执行静态代码分析、模糊测试和漏洞扫描。在运营领域,企业希望看到供应商拥有强大的变更管理流程,以及对数据的适当访问控制和零信任原则的实施。
供应商还应该有成熟的漏洞管理程序来监控补丁的操作环境,以及定义何时修补漏洞的服务级别协议。
四、自己测试第三方API
尽管企业无法控制第三方API,但仍然可以像测试自己的API一样测试第三方API。例如,企业可以使用动态应用程序安全测试(DAST)功能来扫描第三方API,以查找这些API中可能存在的已知漏洞、易受攻击的组件或过时的组件。
五、轮换API密钥
企业另一个第三方API安全的建议措施是轮换API密钥。定期轮换密钥很有必要,主要原因有两个:
首先,攻击者会拦截你的API密钥,然后代表你生成请求。根据第三方使用的安全协议,此密钥可能泄漏与您的帐户相关敏感信息。其次,对于付费的第三方API,API密钥用于计费目的。攻击者可以使用你的密钥快速触发API请求,受害者将收到巨额账单。由于这两个原因,定期轮换密钥对于第三方API安全很有必要。