这是因为 OWASP 十大 API 安全风险列表提供了与 API 相关的最严重安全风险的最新概览。OWASP 的指南可有助于企业了解并应对源于 API 错误配置、缺少身份验证控制措施等的常见 API 漏洞。OWASP 十大 API 风险指南也说明了 API 攻击的运作方式、识别 API 滥用的方法以及保护您的企业免受失效的对象级授权 (BOLA) 攻击等 API 威胁侵扰的方法。
- API 安全风险:API 对于企业的云、数字和 AI 计划至关重要,但它们同时也带来了重大的运营风险。这不仅是因为它们能够持续访问敏感数据和系统,还因为其本身就存在各种漏洞,例如缺少身份验证控制措施以及开发过程中产生的编码错误。
- 重要的 OWASP 指南:OWASP 十大 API 安全风险列表揭示了 API 错误配置等 API 漏洞,并且可帮助安全团队了解各类威胁(包括利用 API 业务逻辑的攻击)。
- Akamai 如何保护 API:在本白皮书中,您将了解 OWASP 已研究的每种 API 风险,同时将深入了解 Akamai 的 API 安全解决方案如何帮助企业检测并抵御 OWASP 识别的 API 漏洞及攻击方法。
常见问题
Akamai 的 API 安全解决方案可根据所接收的输入以及 API 对象与属性之间的关系,对容易受到 BOLA 漏洞利用的 API 端点进行识别和分类,从而帮助抵御 BOLA 风险。它还会针对攻击者尝试过或已成功的 BOLA 漏洞利用生成告警,确保安全团队能够给予立即关注并采取行动。
Akamai 通过识别存在风险的 API 端点并针对攻击者尝试过的容量耗尽型攻击发出实时告警来应对不受限制的资源消耗风险。此外,它还会启动相应的工作流以减缓或阻止容量耗尽型攻击,并针对过多的错误、登录尝试或非典型的行为生成告警,从而确保 API 端点免受拒绝服务 (DoS) 攻击。
Akamai API Security 能够通过识别缺少速率限制或者正在遭受大容量字典攻击或撞库攻击的 API 端点来帮助抵御不受限制的资源消耗风险。Akamai 还可以启动相应的工作流以减缓或阻止容量耗尽型攻击,并针对攻击者尝试过的容量耗尽型攻击生成告警
当 API 端点的访问控制模型实施不当时,就会发生失效的功能级授权 (BFLA),从而导致敏感信息或整个系统遭到未经授权的访问。Akamai 能够通过其 API Gateway 追踪行为时间表、对敏感功能应用安全策略、管理密钥轮换和撤消,并针对访问管理功能的可疑尝试生成告警,从而帮助抵御此风险。
管理和保护第三方 API 很重要,是因为企业越来越多地依赖它们来扩展服务和功能。如果未采取正确的安全措施(例如,加密、数据验证、清理和资源消耗限制),第三方 API 会引入重大安全漏洞。Akamai 会持续监控和验证这些服务,以保障安全并针对潜在的漏洞利用生成告警。
Akamai 会通过持续监测 API 流量以发现隐藏的 API 端点和存在潜在风险的 API,帮助企业应对此风险。它会根据风险评分和数据分类创建最新的 API 清单,并针对各种潜在的漏洞利用生成告警,从而确保所有 API(包括影子 API)都得到正确识别和保护。
安全配置错误是指安全控制措施设置有误,从而导致系统容易受到攻击。这包括不安全的默认配置、不完整或临时的配置、开放式云存储以及错误配置的 HTTP(S) 标头。Akamai 协助抵御此风险的方式包括:识别影子 API 端点、将 API 端点与安全配置最佳实践进行比对、通过 API 安全最佳时间应用安全策略,以及针对错误配置或不符合 API 安全标准的情况生成告警。