重新思考API第一时代的应用程序安全

保护应用程序it API第一时代可能是一场艰苦的战斗。随着发展的加速，责任变得不明确，控制措施的实施本身就成了一项挑战。是时候重新考虑我们的应用程序安全策略，以反映API第一时代的新优先级、原则和流程了。保护明天的应用程序首先要评估今天的业务风险

影响当今应用的趋势和风险

随着世界继续通过设备实现越来越多的互联—；以及连接它们的API—；个人越来越习惯于他们提供的无摩擦体验。虽然这种无摩擦的现实无疑更加用户友好，即更快、更方便，但它也需要权衡。这种便利性要求开放性，而在网络安全方面，开放性是一种风险

信任危机，个人和他们使用的##第二大趋势是供应链。仅仅处理自己的风险是不够的，因为攻击越来越多地通过第三方供应商提供的组件渗透到内部系统。在数字产品甚至连接的硬件产品中，供应链现在由通过API捆绑在最终产品中的不同服务组成，这在供应链中产生了一种新的集成风险

如果说最近的殖民管道和JBS攻击表明了什么，那就是另一个主要。企业现在必须假设，他们很快就会受到攻击，必须做好准备

丰富的数据不可忽视。企业正在存储、管理和启用对如此多数据的访问，使得应用层（和API）对攻击者更具吸引力。旨在改善公营和私营企业安全态势的越来越多的法规在安全趋势中也占有特殊地位。

应用程序安全性已不再是过去的样子

根据Imvision最近发布的一项行业调查，80%的企业目前允许通过API外部访问数据和功能，该调查旨在调查领先企业中API使用和采用的现状。研究结果与其他相关研究一致，并得出结论，企业比几年前开放得多——而且还在增长

但这意味着应用程序安全性已经超越了“门卫”状态，即询问“谁可以进来？”如今，应用程序安全应该假设用户已经在应用程序中，并专注于询问“我们允许他们做什么？”，“预期用途是什么？”以及“我们如何阻止不良行为？”

根据HCL全球应用程序安全宣传员Rob Cuddy的说法，企业在应用程序安全方法上必须做出的根本转变是，在API时代，保护应用程序外围免受外部渗透根本没有意义

当应用程序通过API公开时，围绕应用程序构建安全层将不起作用。相反，需要一种新的。这种新方法假设应用程序渗透到用户的服务中，但在参与者是恶意的情况下设置了保护机制

了解有关安全专业人员如何重新思考应用程序安全的更多信息。如果你问开发人员，他们会告诉你安全性一直存在，但现在变得至关重要。然而，这不是一个添加新工具或自动化的问题，而是一个在人员、流程和文化方面进行根本性转变的问题

管理不同团队之间的安全性绝非易事

在Allegiant Airlines，首席信息安全官Rob Hornbuck正在领导一项有趣的计划，以提高团队和开发生命周期的知名度、可视性和协作性为了开发和维护面向客户的应用程序，他们在任何给定时间都有10个持续开发团队。然而，在不同的团队之间协调安全并非易事。它需要巨大的知名度和鼓励主动性和责任感的文化转变

为了将安全性放在第一位，他们建立了一个安全冠军项目，每个团队有两个人负责在开发过程中确保特定的安全标准。这些冠军帮助团队的其他成员在整个系统中推动知识和交流#该计划通过每月召开会议，重点讨论不同应用程序编程组中与安全相关的所有问题，从而增强组织层面上对应用程序安全的可见性。这些会议使组织能够提供有关不同团队在加班时实现的总体安全健康状况的指标，以帮助获得高级管理人员和董事会成员的认可

可见性，或：“能够识别需要首先修复的内容”

由于许多企业使用几十种（如果不是几百种或更多的话）不同的安全工具来解决不同的系统，CISO面临着理解什么是至关重要的挑战，因此他们可以有效地优先考虑漏洞以减轻风险

但仅仅因为服务器未修补，并不一定意味着它会带来真正的业务风险。所需要的不仅是对漏洞的可见性，而且是对漏洞造成的暴露以及一旦出现漏洞可能产生的业务影响的可见性

为了真正能够将业务风险与漏洞联系起来，Rob Hornbuck认为，执行管理层不仅需要对应用程序编程有扎实的理解，还需要对组织业务模型的内部运作有强大的了解。这使他们能够根据潜在违规行为对其独特业务模式的真实业务影响，优先考虑缓解措施

例如，即使某个特定的漏洞能够中断Colonial Pipeline的运营，但这并不意味着同一个漏洞对另一个组织的底线有任何风险，尤其是在其业务模式不同的情况下。要保护的最重要资产是那些公开关键业务功能的服务和应用程序

在企业风险管理的背景下开发应用程序风险视图

将组织团结在安全问题上绝非易事，尤其是当他们的投入——尽管可能很有价值也很重要——往往会造成延迟，并给忙碌的开发团队增加工作。确保组织的所有级别都理解安全团队的重要性是实施安全开发过程的关键步骤

在法国巴黎银行，技术风险情报全球主管桑迪普·瓦杰指出，让组织更容易了解其内部和外部攻击面有多大，以及哪些关键业务功能被暴露，这一点至关重要

第一步是发现-知道。虽然这一步非常简单，但在第二步，即治理。组织必须确保他们有一个集中的治理委员会或一个第三方技术风险团队来监督组织内部的安全措施。

第三阶段是关于持续安全措施的保证。持续的安全监控可以在发现新漏洞时持续分析它们，从而显著降低风险，因为被利用的漏洞通常是组织不知道的漏洞

最后，弹性是开发的另一个关键能力。在漏洞被利用的情况下，制定具体的事故响应程序和减少暴露至关重要。由于许多组织已经在使用不同的安全解决方案，确保在保护关键业务应用程序时有效使用这些解决方案是关键。

举个例子：在法国巴黎银行（BNP Paribas），安全团队创建了不同应用程序的蓝图，以了解每个应用程序在向云的过渡中是如何受到影响的。执行管理层使用此蓝图来增强对可以安全迁移到云中的不同工作负载的视图

然后，他们围绕it创建了治理，既在公司集团层面，侧重于战略，也在运营层面，侧重于持续监控和保证。他们的下一步是创建一个API指导委员会，根据服务的数据货币化能力对其进行优先排序。最后，他们建立了一个第三方风险管理计划，并包括重要的内部利益相关者，以制定他们的应用程序安全策略。