当前位置: 首页 > news >正文

DevOps 团队如何防御 API 攻击

news 来源:原创 2024/4/24 7:57:13

在过去,勒索软件是 DevOps 团队常常担心的主要安全威胁。尽管现在勒索软件攻击仍在发生,但随着企业安全防护能力与意识增强,勒索软件造成的安全威胁已不如从前。然而,根据 Gartner 调查显示,API 安全漏洞在2021年增量高达 600%,逐渐成为恶意攻击者发起攻击的主要媒介。 DevOps 强化 API 安全性迫在眉睫。

本文将概述当今 API 安全状态,并在扩展 DevOps 现有勒索软件防御技术以保护 API 方面提供一些思路和技巧。

API 的优势

API 主要用于特定类型的应用程序、B2B 或基础设施集成。当转向微服务和分布式架构时,内部 API 就成为将应用程序环节结合在一起并在应用程序的组件和微组件之间传递信息(有时是敏感信息)的粘合剂。现在,发布公共 API 已经成为所有软件产品企业的基本操作,据统计目前公共 API 大约有 22000 个。

随着公共 API 的数量增加,其相关联的应用程序和服务受到攻击的风险也随之增加。越来越多的恶意攻击者开始专注于利用 API 来获取敏感信息的访问权。

从勒索软件保护到 API 保护

大部分人可能过认为保护 API 需要全新的安全工具与实践。但实际上,缓解勒索软件风险和减轻 API 安全风险之间存在着相似之处。DevOps 团队可以通过拓展现有的勒索软件防御技术来保护 API 安全,以下是供 DevOps 团队参考的一些策略和方法。

阻止横向移动

与勒索软件一样,恶意攻击者通过利用缺陷和漏洞横向从端点传播到端点,API 漏洞利用通常也横向传播到整个环境中。

这就意味着,虽然无法阻止所有 API (或勒索软件)攻击侵入边界,但 DevOps 团队可以采取措施阻止漏洞继续扩大。通过尽早检测环境中的恶意活动,DevOps 团队可以阻止威胁的横向传播,避免大规模入侵。

关注数据安全

勒索软件攻击和 API 攻击都专注于敏感数据。勒索软件攻击者通过破坏数据威胁来勒索赎金。而 API 攻击者通过泄漏数据(或兜售数据),例如,恶意攻击者从受感染的 Peloton 账户上窃取敏信息,以及破坏 LinkedIn 的API 来窃取约7亿用户的数据,从而给企业声誉造成严重负面影响。

因此,降低勒索软件风险和 API 安全风险可以落在保护数据安全上。 通过对内部和公共 API 的功能实施强大的访问控制和分段,可以降低由于 API 安全漏洞导致的数据泄露风险。

使用行为安全模型

当面临 zero-day 攻击和未知攻击时,基于签名的安全控制对勒索软件和 API 攻击都不起作用。尽管企业已经竭尽全力去强化安全环境,但还是无法避免漏洞绕过防御的情况发生。

因此部署基于行为的安全模型时防范勒索软件和 API 攻击的关键。行为安全模型能够检测环境中的异常活动,例如异常类型的请求或异常的请求模式。通过对行为进行建模和基线化,

这就是为什么部署基于行为的安全模型是防范勒索软件和 API 攻击的关键。行为安全模型检测环境中的异常活动,例如异常类型的请求或奇怪的请求模式。通过对行为进行建模和基线化,并根据您的模型检测异常,您可以防止攻击一旦开始就蔓延开来。

不要依赖基于外围的防御

企业需要明白的是,保护系统环境外围并不是针对勒索软件或 API 攻击的万无一失的防御措施。相反,需要在所有端点、应用程序、服务等之间分配保护。

如之前所说,我们无法百分之百保证攻击者无法进入企业的系统。防御成功很大程度上取决于企业是否有能力让恶意攻击者难以将他们的攻击从小规模突破升级为影响广泛的攻击。

同样,没有什么可以保证攻击者不会进入。你的防御成功很大程度上取决于你是否有能力让他们难以将他们的攻击从小规模突破升级为影响广泛的攻击的资源。

关注表面以外的防护

勒索软件和 API 攻击的相似之处在于,这两者通常都涉及旨在逃避常见安全监控工具的攻击方法。

比如,攻击者可能会尝试利用端口 80 或 443(默认 HTTP/HTTPS 端口),这些端口几乎总在防火墙上打开着。因此,DevOps 团队必须避免仅依赖标准端口或加密来保护 API 流量的方式。相反,必须要对有效负载深入研究,然后解析和理解协议。监控和收集来自多个来源的数据,然后对其进行关联和分析,以更深入地了解环境中实际发生的情况。

结 论

勒索软件攻击和 API 安全攻击在某些方面有着根本的不同,它们涉及对不同协议的利用,且攻击者的目标通常有所不同。但就攻击者的操作方式、他们想要窃取的内容(比如敏感信息和数据)以及基于边界的防御、勒索软件攻击和 API 攻击的限制而言,这两者非常相似。

因此开发人员和 DevOps 团队无需重新考虑他们的整个安全策略来应对 API 攻击激增。相反,通过现有的勒索软件防御技术,DevOps 团队可以在此基础上进行拓展,以保护 API 安全。

参考链接:

https://www.gartner.com/en/webinars/4002323/api-security-protect-your-apis-from-attacks-and-data-breaches

https://www.c2experience.com/blog/living-in-an-api-driven-economy

相关文章:

  • Dubbo管理控制台dubbo-admin搭建
  • 一觉醒来发现Github要废弃Trending Tab
  • python+停车管理系统 毕业设计-附源码271400
  • Java-基于SSM的智能仓储管理系统
  • SSL、TLS拒绝服务攻击
  • 北京律师事务所排名(top10榜单发布)
  • MindSpore深度概率推断算法与概率模型
  • 热敏性聚N-乙烯基异丁酰胺(PNVIBA)/聚(N—乙烯基异丁酰胺)接枝聚苯乙烯微球的研究
  • Linux中的服务管理
  • 异步 PHP — 多进程、多线程和协程
  • 适用于90%网剧、网大的最新备案流程解析
  • 在PyG上构建自己的数据集
  • Docker部署Logstash 7.2.0
  • Nginx -- -- 配置SSL证书
  • DID革命:详解PoP、SBT和VC三种去中心化身份方案
  • 《Java8实战》-第四章读书笔记(引入流Stream)
  • Android路由框架AnnoRouter:使用Java接口来定义路由跳转
  • JavaScript 事件——“事件类型”中“HTML5事件”的注意要点
  • JavaScript的使用你知道几种?(上)
  • Just for fun——迅速写完快速排序
  • MySQL用户中的%到底包不包括localhost?
  • rc-form之最单纯情况
  • Spring框架之我见(三)——IOC、AOP
  • SQLServer之创建数据库快照
  • tab.js分享及浏览器兼容性问题汇总
  • vuex 笔记整理
  • vue和cordova项目整合打包,并实现vue调用android的相机的demo
  • Webpack入门之遇到的那些坑,系列示例Demo
  • 湖南卫视:中国白领因网络偷菜成当代最寂寞的人?
  • 面试题:给你个id,去拿到name,多叉树遍历
  • 前端js -- this指向总结。
  • 通过npm或yarn自动生成vue组件
  • 小程序01:wepy框架整合iview webapp UI
  • 原生js练习题---第五课
  • 做一名精致的JavaScripter 01:JavaScript简介
  • ​​快速排序(四)——挖坑法,前后指针法与非递归
  • #include<初见C语言之指针(5)>
  • #在线报价接单​再坚持一下 明天是真的周六.出现货 实单来谈
  • $forceUpdate()函数
  • %3cscript放入php,跟bWAPP学WEB安全(PHP代码)--XSS跨站脚本攻击
  • %check_box% in rails :coditions={:has_many , :through}
  • (12)目标检测_SSD基于pytorch搭建代码
  • (2009.11版)《网络管理员考试 考前冲刺预测卷及考点解析》复习重点
  • (附源码)spring boot公选课在线选课系统 毕业设计 142011
  • (附源码)springboot电竞专题网站 毕业设计 641314
  • (附源码)流浪动物保护平台的设计与实现 毕业设计 161154
  • (九十四)函数和二维数组
  • (四)图像的%2线性拉伸
  • (一)WLAN定义和基本架构转
  • (正则)提取页面里的img标签
  • (转)Android学习笔记 --- android任务栈和启动模式
  • (转载)利用webkit抓取动态网页和链接
  • (转载)深入super,看Python如何解决钻石继承难题
  • .axf 转化 .bin文件 的方法
  • .class文件转换.java_从一个class文件深入理解Java字节码结构