有光：确保整个API生命周期的可见性

以下文章基于Imvision举办的一系列关于企业API安全性的网络研讨会，来自IBM、德勤、马士基和Imvision的专家演讲者讨论了集中组织API可视性的重要性，这是加速补救工作和改善整体安全态势的一种方式。

在今天的开放生态系统中，集中安全是一项挑战

在接近API可见性时，我们必须认识到的第一件事是，今天的企业积极避免通过一个系统管理所有API。IBM的集成工程总监托尼·库西奥（Tony Curcio）表示，他的许多企业客户已经在使用混合架构，这些架构利用了经典的内部基础设施，同时跨多家云供应商采用了SaaS和IaaS。

这些体系结构旨在提高恢复力和灵活性，但我们清楚地意识到，这会使集中化工作复杂化：“这些体系结构旨在提高恢复力和灵活性，但代价是使这些组织的集中化工作复杂化，必须有一个集中的API位置，并将其部署到每个位置，以确保API相关业务活动的更大可视性和更好的管理。

安全团队面临的挑战是，没有一个中心位置可以让开发团队管理所有API——随着时间的推移，这种复杂性可能只会变得更糟。此外，这种复杂性并不局限于基础设施层面，而是会持续到应用层。

德勤的高级技术执行官兼美国咨询公司CISO副总裁Moe Shamim认为非单片应用程序开发是关键。他声称，为了保持竞争力，组织现在必须将这数百万行代码分解为基于API的模块化流程和系统，同时确保将威胁向量降至最低。这需要重新思考，因为现在必须考虑API网关、IAM、节流等，这意味着需要大量的时间和资源。

随着时间的推移，组织的API足迹不再以有机方式增加。它现在由各种API组成，它们的起源来自合并和收购、版本控制、内部API、第三方API、偏离原始预期用途、开发、测试、调试和诊断目的等。这使得复杂性成为一个更大的问题，因为许多API都没有文档记录和管理，更不用说——没有保护。

“影子API”来自哪里？

在这种混合云现实中，在企业资产所在的每个不同环境中实施一致的计划是一个挑战。在选择技术堆栈时，应该考虑到这种一致性挑战，以便在任何地方执行政策和治理计划都不是问题。

但这说起来容易做起来难，尤其是在与其他组织合并和收购的成功企业中：每个企业使用不同的技术，为添加的每个新环境要求定制的API安全流程。

以下是评估完整生命周期API安全解决方案时应注意的事项

API生命周期？API生活方式！

根据Moe Shamim的说法，API的生命周期可以归结为下图中的支柱。在制定API安全策略时，必须考虑架构、分布、设计以及影响组织开发API方法的一系列其他方面。您可以将这些方面视为在API生命周期的每个阶段注入的控件。它本质上与上面讨论的可见性和集中性有关。

API生活方式支柱的图像

计划确定API是仅在网络防火墙内使用还是公开使用，以及身份验证等问题。它还将涉及更多的技术问题，如构建、网关类型和您将使用的编程语言。重要的是——这适用于你做出的关于你的安全态势的每一个决定——做出一个与你的工具生态系统相一致的选择，并考虑到你的威胁建模。

在建筑支柱，扫描OWASP前10个问题是必须的，SAST工具非常适合这一点。Pentesting和versioning可能不一定会集成到您的安全态势中，但它们都是强大的机制，肯定会让您的安全武库受益。

这个运转支柱包括节流、缓存和日志记录等问题。强健的日志记录和监控机制是修复阶段的必备工具，因为它使您能够修复不同版本的漏洞。

最后但并非最不重要的是，我们到达了退休生命周期的支柱。删除不再使用的端点是一项基本的最佳实践；基本上，如果你不再需要服务，不要让它开着。如果你不再需要API了，就把它离线吧；云账户也是如此。

Tony Curcio声称，API项目治理的关键原则之一是API生产者、产品管理者和消费者之间的协调。查看每个角色的安全配置，并协调确保每个角色安全使用的API策略，是组织安全态势的一个基本方面。

在组织内树立API优先的心态肯定会有所帮助。例如，在IBM，他们构建了自己的API管理技术，使他们能够更容易地公开、保护和保护自己的API。拥有先进的技术支持——比如Imvison——也有很长的路要走。他们的人工智能技术帮助我们更多地了解攻击载体，包括其来源等关键问题。

采取情报主导的安全应对方式

马士基高级解决方案架构师Gabriel Maties提供了另一个视角。由于马士基在API项目中使用了三年，并且在一次严重违规之后，网络安全一直被视为保持至少与攻击者一样好（如果不是更好的话）的一种方式。

Gabriel分享了他对可观察性的看法，他从一开始就将API管理视为一门多参与者的学科，因为它共享资源并在内部公开这些资源。因此，进入系统的每个入口点及其支持机制都应该仔细观察并集中监控。

这种集中化很重要，因为观察能力是多维的，因为从来没有一个方面需要监控。这就需要对API进行全面的了解，使您能够轻松了解API部署在哪里、谁拥有、谁使用、如何使用、正常使用情况以及每个API如何受到保护。集中化还使您能够更好地了解每个API的生命周期是什么样子、存在多少版本、共享哪些数据、存储在哪里以及谁在使用这些数据。

集中化是以确保最大效益和最小风险的方式管理这个复杂生态系统的唯一方法。

API可见性层的图像

拥有集中的观察能力可以进一步实现洞察，从而让你对观察结果采取行动。可观察性允许你观察正在进行的、你甚至不知道的主动攻击，甚至制定策略，利用你从观察中得出的见解采取行动。

基于规则的安全性非常有效，机器学习和深度学习是自动化和简化安全性的两种技术。由于要应对的数据量巨大，根本没有其他选择，更不用说这些技术能够实现自适应威胁保护，帮助应对新的威胁。

坏消息是，黑客也在使用同样的技术，处理这一问题需要大量的组织成熟度来采取必要的行动。我们这里讨论的是一些繁重的操作，比如关闭负载平衡器、切换防火墙，以及以自动、快速方式进行的其他基础设施更改。如果没有整个组织的高度成熟度，就无法实现这一点。

有监督的机器学习可以帮助组织发展这种成熟度。它使您能够处理大量规则集和洞察，以便设计自动操作流。数据科学在跟踪特定攻击者行为方面提供了重要的技术诀窍，这在存在不同来源和高级持续威胁时至关重要。

这种以智能为主导的安全响应能够在改变和更新规则和流程时，依靠量化的证据做出持续的自适应、自反的响应。这是应对我们所看到的日益复杂的攻击的唯一方法。

屏幕变黑了：一个真实的攻击故事

加布里埃尔谈到了他在马士基工作时经历的一次真正的袭击。有一天，在他加入约九个月后，他们的屏幕一片空白。断开和拔掉插头的操作没有帮助，已经太晚了，几分钟之内，数千台计算机就变得无用了。

这不是对经济激励的攻击，而是一次破坏性的攻击，意在让马士基屈服。加布里埃尔和他的团队的唯一选择是重建，因为攻击者使用单向加密。显然，在重建系统的同时，网络安全是一个主要的优先事项。动态分析被认为对他们的努力至关重要，这样他们就可以进行实时分析，以增强持续学习和适应威胁的能力。他们的目标是了解正常和异常的内部行为，因为80%的攻击都是内部行为。

攻击发生后，加布里埃尔提出了4个级别的可观察性、健康检查和确定系统健康是否受到损害的方法。现在，所有流程和架构决策都必须通过网络安全评估，并且必须通过一些制衡。这并不意味着需要勾选所有框才能获得新流程或决策的批准，因为这里的要点是了解您的差距和弱点，以便您能够利用正确的功能和供应商来实现您的安全理念。

在过去两年中，我们看到越来越多的组织采用特定的API工具来帮助监控、发现和消除影子API，以更好地了解其风险。这是一个伟大的发展，因为API与我们来自的应用程序世界完全不同。保护API的唯一方法是采用专门为其构建的独特工具和流程。

API安全：让董事会上船

在我们的环境中，网络安全攻击的扩散和严重性正在使许多企业的董事会和高管对API保护更加感兴趣。提高可见度是让高管了解他们面临的风险的另一种方式。如果你能找到一种方法，让你的高管们知道有多少未受保护的数据容易受到威胁，那么你已经赢了一半。

这种可见度反过来将增强一种更具适应性、自反性的网络安全态势，使你能够不断学习、洞察并调整自己的态势，以应对新类型的攻击。

获取此RFP模板可以帮助您简化为您的业务选择正确API安全供应商的过程

在所有企业资产中建立一致、可见的安全态势是任何稳健网络安全战略的核心原则。这种安全态势必须考虑API生命周期的四大支柱：规划、构建、运营和退役。为了正确地做到这一点，您必须选择能够使您在开始API安全之旅时所决定的策略、工具和治理得到实施的技术。

同样重要的是制定一个整体的、集中的战略，以增强保护资产所需的可见性。Imvision等创新公司提供的高级ML和深度学习技术绝对可以帮助您实现这一目标。