要有光 保证整个API生命周期的可视性
发布时间:2022-03-23 13:12:04 所属栏目:安全 来源:互联网
导读:Deloitte的高级技术执行官Moe Shamim认为非整体应用程序开发是关键。他声称,为了保持竞争力,同时将威胁降至最低,组织现在必须将数百万行的代码分解为基于API的模块化流程和系统。这需要将API网关、IAM、节流等因素纳入考虑,来进行重新的思考。这意味着
|
Deloitte的高级技术执行官Moe Shamim认为非整体应用程序开发是关键。他声称,为了保持竞争力,同时将威胁降至最低,组织现在必须将数百万行的代码分解为基于API的模块化流程和系统。这需要将API网关、IAM、节流等因素纳入考虑,来进行重新的思考。这意味着需要花费大量的时间和资源。 设计阶段决定了API是仅在网络防火墙内使用还是公开使用,以及身份验证等问题。同时它还将涉及更多的技术问题,如开发、网关类型以及使用的编程语言。重要的是考虑到威胁模型的同时,做出一个与你工具的生态系统相一致的选择,这适用于你做出的每一个有关安全态势的决定。 构建阶段,必须扫描OWASP前10个问题。对此,SAST工具是个很好的选择。渗透测试和版本控制虽不一定会集成到安全态势中,但它们都是强大的机制,有益于扩充你的安全“军火库”。 运营阶段包括节流、缓存和日志记录等问题。完备的日志记录和监控机制是修复阶段的必备工具,它能够帮助修复不同版本的漏洞。 最后但却同样重要的是下线阶段。删除不再使用的端点是一项基本的最佳做法;一般情况下,如果你不再需要一项服务,那么就不要让它一直处于开启状态。如果你不再需要某个API了,就关掉它;云账户也是如此。 Tony Curcio声称,API项目治理的关键原则之一是API的开发人员、产品经理和消费者之间的协作。查看每个角色的安全配置,并对确保使用安全的API策略进行协调,这是组织安全态势的一个基本方面。 Gabriel分享了他对可视性的看法,因为API管理在内部共享资源,所以他从一开始就将API管理视为一项多参与者的工作。因此,系统的每个入口点及其支持机制都应该进行仔细的检查并集中监控。 基于规则的安全性是非常有效的,并且机器学习和深度学习这两种技术可以使其自动化和程序化。主要是因为没有其他可供选择的技术来处理海量的数据。并且,这两种技术还能够实现自适应威胁保护来帮助应对新的威胁。 坏消息是,黑客也在使用同样的技术,而且处理这些技术需要组织成熟度,以采取必要的行动。我们这里讨论的是一些繁重的操作,比如关闭负载平衡器、切换防火墙,以及自动、快速地进行的其他基础设施的更改。如果没有整个组织的高度成熟度,就无法实现这一点。 监督机器学习可以帮助组织提高这种成熟度。它使你能够处理大量规则集并进行洞察,以便设计自动操作流。而且,数据科学在跟踪特定攻击者行为方面提供了重要的技术诀窍。当组织面临不同资源或者持续的高级威胁时,这些诀窍至关重要。 规则和流程发生改变和更新时,这种以智能为主导的安全响应能够依靠量化的证据做出持续的自适应、自反的响应。这是应对不断增加且不断复杂化攻击的唯一方法。 黑屏:一个真实的攻击事件 Gabriel谈论过他在Maersk工作时经历的一次真实攻击。大约是在他加入Maersk九个月后的一天,他们的屏幕突然黑屏了。断开服务器和拔插头也都无济于事。已经太晚了,短短几分钟之内,数千台计算机便瘫痪了。 这不是以敛财为目的的攻击,而是一次破坏性的攻击,意在让Maersk屈服。由于攻击者使用了单向加密,所以Gabriel和他的团队只能选择重建系统。显然,重建系统时,网络安全是最为优先的事项。他们认为动态分析至关重要,为的是进行实时分析,以增强持续学习和适应威胁的能力。因为80%的攻击都是内部行为,所以他们的目标是了解哪些行为是正常的,以及哪些什么是不正常的。 攻击发生后,Gabriel提出了可视性的、健康检查的四个级别和一个能够判断系统安全是否受到损害的方法。现在,所有流程和架构决策都必须通过网络安全评估,都必须通过大量的检查和平衡处理。但这并不意味着必须满足所有条件,才能获得新流程或决策的批准。因为关键点在于推动你对自己差距和弱点的了解。这样你才能利用合适的功能和供应商,来实现你的安全理念。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
