集中安全是当今开放生态系统的挑战
实现API在可视化之前,我们必须认识到,今天的企业正试图避免使用单独的系统来管理所有的事情API。IBM集成工程总监Tony Curcio他说,他的许多客户企业已经使用了包含典型内部基础设施的混合架构,并采用了许多云供应商SaaS和IaaS获取服务的模式。
这些系统结构旨在提高安全韧性和灵活性。但我们清楚地意识到,这将使集中工作更加复杂,即提高安全韧性和灵活性的代价是集中工作的复杂性。因此,必须有一个集中的API确保控制位置API相关业务活动的可视性和更好的管理。
随着时间的推移,这种复杂性可能会加深,所以安全团队面临的问题是,没有集中的地方让开发团队管理一切API。此外,这种复杂性并不局限于基础设施层,而是持续到应用层。
Deloitte高级技术执行官Moe Shamim认为开发非整体应用程序是关键。他声称,为了保持竞争力,尽量减少威胁,组织现在必须基于数百万行代码分解API模块化过程和系统。API网关、IAM、考虑节流等因素,重新思考。这意味着需要大量的时间和资源。
随着时间的推移,组织API足迹不再有规律地增加。它们由各种方式组成。API组成包括并购API、版本控制API、内部API、第三方API以及一些偏离预期用途、开发、测试、调试和诊断的目的API等等。然而,很多API没有文档记录和管理,甚至有些甚至没有保护措施,这使得复杂性问题更加严重。
“Shadow APIs从何而来?
在这种混合云的现实背景下,在不同的企业资产环境中运行相同的程序是一个挑战。在选择技术栈时,应考虑到这一挑战,以便在任何地方顺利实施政策和治理。
但这很容易做到,特别是在收购其他组织或与其他组织合并的成功企业中:每个业务都使用不同的技术,需要为每个新环境设置自定制API安全流程。
API生命周期?API工作方式!
根据Moe Shamim的说法,API生命周期可归结为下图。API在安全策略中,必须考虑结构、分布、设计和影响组织开发API其他方法。您可以将这些方面视为API在生命周期的每个阶段引入的控件。本质上与上述可视性和集中性有关。
一张关于API生命周期图
决定了设计阶段API是仅在网络防火墙中使用还是公开使用,以及身份验证等问题。它还将涉及更多的技术问题,如开发、网关类型和编程语言。考虑到威胁模型,做出与您工具的生态系统一致的选择是很重要的,这适用于您对安全情况的每一个决定。
必须扫描施工阶段OWASP前十个问题。SAST工具是个不错的选择。虽然渗透测试和版本控制不一定集成到安全状态中,但它们都是有利于扩大您安全军火库的强大机制。
操作阶段包括节流、缓存和日志记录。完整的日志记录和监控机制是修复阶段的必要工具,有助于修复不同版本的漏洞。
最后,同样重要的是离线阶段。删除不再使用的端点是基本的最佳方法;一般来说,如果你不再需要服务,不要让它一直打开。如果你不再需要某个API关掉它;云账户也是如此。
Tony Curcio声称,API项目治理的关键原则之一是API的开发人员、产品经理和消费者之间的协作。查看每个角色的安全配置,并对确保使用安全的API协调战略是组织安全形势的基本方面。
在组织内建立API优先的概念是有益的。IBM开发自己的API管理技术使他们更容易公开和保护自己API。但像Imvison有先进的API技术还有很长的路要走。他们的人工智能技术帮助我们了解更多关键问题的攻击方法,包括它们的来源。
以情报为主导的安全应对方式
MAERSK的高级解决方案架构师Gabriel Maties提出另一种观点。MAERSK有着三年的API在网络安全方面,他一直认为,即使他不能比攻击者做得更好,他至少也应该做得和他一样好。
Gabriel因为分享了他对视觉的看法,API他从一开始就管理内部共享资源API管理被认为是一项多参与者的工作。因此,应仔细检查和监控系统的每个入口点及其支持机制。
这种集中非常重要,因为可视性是多维的,从来没有监控过一个单独的方面。这需要正确的API全面了解,让你很容易理解API部署在哪里,主人是谁,用户是谁,如何使用,正常使用的状态是什么,每个人都在哪里API如何保护和其他问题。此外,集中也有助于更好地了解每一个问题API什么样的生命周期,有多少版本,共享什么数据,存储在哪里,谁在使用这些数据。
集中是管理这个复杂生态系统的唯一途径,以最大的效益和最小的风险。
可视层次图
集中观察能力可以进一步洞察,从而采取行动观察结果。可视化允许你观察正在进行的未知主动攻击,制定策略,并使用观察的观点采取行动。
基于规则的安全性非常有效,机器学习和深度学习可以使其自动化和程序化。主要是因为没有其他可供选择的技术来处理大量的数据。此外,这两种技术还可以实现自适应性威胁保护,以帮助应对新的威胁。
坏消息是,黑客也在使用相同的技术,需要组织成熟度来采取必要的行动来处理它们。我们在这里讨论的是一些繁重的操作,如关闭负载平衡器、切换防火墙以及自动和快速的其他基础设施变化。如果没有整个组织的高成熟度,就无法实现这一点。
监督机器学习可以帮助组织提高这种成熟度。它允许您处理大量的规则集和洞察力,以设计自动操作流。此外,数据科学为跟踪特定攻击者的行为提供了重要的技术技巧。当组织面临不同的资源或持续的高级威胁时,这些技巧非常重要。
当规则和流程发生变化和更新时,这种智能主导的安全响应可以依靠定量证据进行持续的自适应和自反应。这是应对不断增加和复杂攻击的唯一方法。
黑屏:真实攻击事件
Gabriel谈论过他在Maersk工作中经历的真实攻击。大约是他加入的时候Maersk九个月后的一天,他们的屏幕突然变黑了。断开服务器和拔出插头是没有用的。太晚了,几分钟后,成千上万的电脑瘫痪了。
这不是以敛财为目的的攻击,而是一次破坏性的攻击,意在让Maersk屈服。因为攻击者使用单向加密,所以Gabriel他的团队只能选择重建系统。显然,网络安全是重建系统时最重要的事情。他们认为动态分析非常重要,以便进行实时分析,以提高持续学习和适应威胁的能力。因为80%的攻击是内部行为,他们的目标是知道什么是正常的,什么是不正常的。
攻击发生后,Gabriel提出了四个层次的可视性和健康检查,以及一种判断系统安全是否损坏的方法。现在,所有的过程和架构决策都必须通过网络安全评估,必须通过大量的检查和平衡处理。但这并不意味着你必须满足所有条件才能获得新的过程或决策的批准。因为关键是促进你对自己的差距和弱点的理解。利用适当的功能和供应商来实现您的安全概念。
在过去的两年里,我们看到越来越多的组织使用特定的组织API帮助监控、发现和消除工具shadow API,以便更好地了解其风险。这是一个伟大的进步,因为API与我们的应用世界完全不同。独特的工具和工艺是用来保护它的API唯一的方法。
API安全:让董事会上船
正如我们所看到的,网络安全攻击的数量和严重性不断增加,这导致了许多企业的董事会和高管API注意保护。提高可视性是让高管理解风险的另一种方式。如果你能找到一种方法,让你的高管知道有多少未受保护的数据容易受到威胁,你就赢了一半。
这种可见性反过来会增强更适应性和自反性的网络安全态势,让你不断学习、洞察和调整自己的态势,应对新的攻击。
完善网络安全战略的核心原则是在不同企业资产中建立一致、可视化的安全态势。必须考虑这种安全情况API生命周期的四个阶段:设计、构造、操作和离线。为了正确地做到这一点,你必须选择合适的技术。这项技术应该能够实现你API战略、工具和治理是在安全管理初期确定的。
最后,制定一个整体、集中的战略来保护资产也同样重要。Imvision创新公司提供的先进ML深度学习技术肯定会帮助你实现这个目标。
点评
随着API随着应用场景的增加,系统攻击的风险也在增加。API安全维护不仅是网络安全部门的工作,也是整个企业,尤其是领导决策者的重视。可视化技术API生命周期中的应用使网络安全趋势以更生动、更具体的方式呈现给所有系统用户,包括非技术人员。这不仅可以使用户更好地了解当前系统的安全状态,而且可以充分发挥群体决策的优势。