La liste des 10 principaux risques liés à la sécurité des API de l'OWASP est importante, car elle fournit une vue d'ensemble mise à jour des risques les plus critiques pour la sécurité associés aux API. Les conseils de l'OWASP aident les organisations à comprendre et à résoudre les vulnérabilités courantes des API qui découlent d'erreurs de configuration, de contrôles d'authentification manquants, etc. La liste des 10 principaux risques liés à la sécurité des API de l'OWASP explique également le mécanisme des attaques ciblant les API, comment identifier les abus d'API et comment protéger votre entreprise contre les menaces associées aux API telles que l'autorisation brisée au niveau de l'objet (BOLA).
- Risques de sécurité des API : les API jouent un rôle essentiel dans les initiatives cloud, digitales et d'IA des entreprises. Toutefois, elles présentent des risques opérationnels importants en raison de leur accès permanent aux données et systèmes sensibles, et du fait qu'elles sont souvent truffées de failles telles que des contrôles d'authentification trop permissifs et des erreurs de codage en phase de développement.
- Conseils précieux de l'OWASP : la liste des 10 principaux risques liés à la sécurité des API de l'OWASP apporte des éclairages sur les vulnérabilités des API, notamment les erreurs de configuration, et aide les équipes de sécurité à comprendre les menaces comme les attaques exploitant la logique métier des API.
- Comment Akamai protège les API : dans ce livre blanc, vous découvrirez chacun des risques liés aux API que l'OWASP a étudiés, ainsi que la façon dont la solution de sécurité des API d'Akamai permet aux entreprises de détecter et d'atténuer les vulnérabilités des API et les méthodes d'attaque identifiées par l'OWASP.
Foire aux questions (FAQ)
La solution de sécurité des API d'Akamai contribue à atténuer les risques BOLA en identifiant et en classant les points de terminaison d'API susceptibles de subir une attaque BOLA en fonction des entrées reçues et des relations entre les objets et les propriétés d'API. Elle génère également des alertes en cas de tentative ou de réussite d'exploitation BOLA, pour une attention et une action immédiates.
Akamai répond au risque de consommation illimitée des ressources en déterminant les points de terminaison d'API à risque et en envoyant des alertes en temps réel lors de tentatives d'attaques volumétriques. Akamai déploie également des flux de travail pour ralentir ou bloquer les attaques volumétriques et génère des alertes en cas d'erreurs excessives, de tentatives de connexion ou de comportement atypique. Ainsi, vous garantissez la protection des points de terminaison d'API contre les attaques par déni de service (DoS).
Akamai API Security atténue le risque de consommation illimitée de ressources en identifiant les points de terminaison d'API qui ne respectent pas les restrictions de débit ou victimes d'attaques utilisant des dictionnaires massifs ou par « credential stuffing ». Akamai peut également déployer des flux de travail pour ralentir ou bloquer les attaques volumétriques, et générer des alertes en cas de tentative d'attaques volumétriques.
Une autorisation brisée au niveau de la fonction (BFLA) se produit lorsque les modèles de contrôle d'accès pour les points de terminaison d'API ne sont pas correctement mis en œuvre, ce qui permet l'accès non autorisé aux informations sensibles ou au système dans son ensemble. Akamai contribue à atténuer ce risque en suivant les chronologies comportementales, en appliquant des règles de sécurité aux fonctions sensibles, en gérant la rotation et la révocation des clés via API Gateway et en générant des alertes lors de tentatives suspectes d'accès aux fonctions administratives.
Il est important de gérer et de sécuriser les API tierces, car les entreprises les utilisent de plus en plus pour étendre leurs services et fonctionnalités. En l'absence de mesures de sécurité appropriées telles que le chiffrement, la validation des données, le nettoyage et les limites de consommation des ressources, les API tierces peuvent entraîner d'importantes vulnérabilités. Akamai surveille et valide en permanence ces services pour garantir la sécurité et générer des alertes en cas d'exploitation potentielle.
Akamai aide les entreprises à résoudre le problème de mauvaise gestion des inventaires en supervisant constamment le trafic d'API afin de détecter les points de terminaison d'API cachés et les API présentant des risques. Akamai crée un inventaire des API et le met à jour continuellement, en fonction de l'évaluation des risques et de la classification des données, et génère des alertes pour une variété d'exploitations potentielles. Cela permet de garantir l'identification et la protection de toutes les API, y compris les API fantômes.
Une mauvaise configuration de sécurité désigne une configuration incorrecte des contrôles de sécurité, qui peut rendre un système vulnérable aux attaques. Cela comprend les configurations par défaut non sécurisées, les configurations incomplètes ou ad hoc, le stockage dans le cloud ouvert et les erreurs de configuration des en-têtes HTTP(S). Akamai atténue ce risque en identifiant les points de terminaison des API fantômes, en alignant les points de terminaison d'API sur les meilleures pratiques de configuration de la sécurité, en appliquant des règles basées sur les meilleures pratiques de sécurité des API et en générant des alertes pour signaler une mauvaise configuration ou le non-respect des normes de sécurité des API.