购买或续订
购买或续订
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
创建新文章
981
查看次数
0
有帮助
0
评论

【原创】API安全展望 (2)

julianchen
Spotlight
Spotlight

发布时间 ‎03-04-2021 07:15 PM

API的安全展望
根据本人的开发与项目实施经验,我大胆地对API的安全性趋势做出了如下展望,可供您参考与借鉴。
1.DNS安全性(DNSSEC
在人们运用移动设备访问各类APP的时候,大多数信息都是以未加密的方式,通过无线网络进行往复传输的,因此它们很容易受到截获甚至是攻击。我们需要通过设置SSLTLS的连接方式,来确保传输数据的安全性。当前,最新的TLS版本为1.3,而大多数网站也都能够通过API的设计,以HTTPS的方式去加密用户的各类敏感信息。
同时,由于几乎所有的网络流量都需要进行标准的DNS查询,因此DNS成为了众矢之的,针对DNS的劫持和中间人攻击时有发生。此类攻击通过将网站的入向流量,重定向到伪造的网站处,进而收集到网站用户的敏感信息,并让企业蒙受损失。
与许多互联网协议相同,DNS系统在设计之初也并未考虑到安全性的相关问题,并且存在着一些设计上的限制。而这些限制在面对技术的快速迭代时,就留下了可乘之机。攻击者很容易出于恶意目的去劫持DNS的查找请求。例如,他们会将用户转发到分发恶意软件、或收集个人信息的欺诈性网站上。

在上述DNS劫持过程中,攻击者通过恶意软件、或是对某些未授权DNS服务器的修改,来将查询请求重定向到持有其他域名的服务器上。也就是说,您本想访问www.mybank.com,却实际上来到了www.notmybank.com,而且自己浑然不知。
DNS安全扩展(DNSSEChttps://dzone.com/refcardz/introduction-to-dns-security?chapter=1)是针对此类问题而创建的安全协议。DNSSEC协议通过对数据进行数字签名来保护其有效性,并防止其受到攻击。为了确保实现安全的DNS查找,此类签名必须在DNS查找过程的每个顺序级别上进行。
2.聚焦安全的API设计
一提到安全,人们往往想到的是复杂性、甚至是不便。因此,API设计的易用性和可扩展性,才是吸引API开发人员、乃至用户的关键战略秘诀。在实践中,当您开始着手为某个微服务构建公开的API时,就应该认真考虑如何设计API的安全性。
只有在设计之初融入了安全性,特别是用户隐私方面的管控,才能节省后续补救与整改的时间和资源。业界著名的RestCase API平台正是通过各种AI和复杂的算法,以方便用户在设计阶段去检查和验证自己的API。同时,它能够给出如何处置API安全性方面的各种建议。
3.人工智能(AI)驱动的API安全性
目前,在不同的行业,开发人员通过将系统的API与海量的数据相集成,在计算机视觉、空间位置、嵌入式应用、Web网格、移动文本数据、以及自然语言处理等领域,得到了很好的商业智能化应用,和对发展趋势的预判。通过对于不同实时数据源的持续检测与分析,各类应用具备了更快、更智能的响应能力。
与此同时,我们应该利用好丰富的数据资源,运用AI相关的趋势分析能力,对于调用API的流量进行深度分析,进而侦测到各种历史攻击与异常,并通过自动化的修补措施,以防止后续攻击的再次发生。例如,某些针对特定APIDoS攻击源,会在网络中扫描并攻击那些设计方案欠佳,且未对访问请求实施流速限制的API。有时候,某些API节点会在算力(computation)上非常消耗资源。例如:那些需要通过哈希算法来进行身份验证的逻辑。因此,一些经验丰富的攻击者,经常会有目的性地利用并向此类节点发送垃圾邮件,以拖垮或破坏整个系统。
4.机器学习(ML)驱动的API安全性
如果说AI主要是用于对攻击进行智能判断的话,那么ML则主要能够用于提取威胁的特征。通过开发带有ML功能的智能API,运维人员能够有效地管理各种具有挑战性和新出现的威胁模型。运用此类API的安全性,我们将能够更加准确地识别和标记出各种异常行为,判断出恶意攻击的发展趋势,以及识别和阻止在多种环境、及情况下针对API的攻击行为模式。可以说,有了持续学习功能对于API的加持,我们便以可在无法预知攻击源、以及预设应对策略的情况下,及时识别出正在发生的异常行为。
目前,广泛用于各种API安全方面的机器学习算法,包括:朴素贝叶斯、KNN最近邻(K-Nearest Neighbors)、决策树、随机森林、支持向量机、深度学习、以及神经网络等。
总结
随着现代化技术的日新月异,API安全性已日渐成为了网络应用方面的主要技术需求之一。目前,AIML作在有效且智能的工具,已经逐渐被应用到了协议栈的各个层面上,以实现API的全栈安全防护。当然,就下一步发展趋势来看,开发人员需要进一步加大对于API业务模型、分析能力、技术蓝图、以及合规性与标准化方面的深入研究与开发。

【原标题】State of API Security(作者: Guy Levin )
原文链接:https://dzone.com/articles/state-of-api-security
标签:
0 有帮助
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

向其他专家提问 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents