要有光:確保整個API生命周期的可視性
在如今的開放生態(tài)系統(tǒng)中,集中安全是一項挑戰(zhàn)
實現API可視化之前,我們必須認識到的,當今企業(yè)都在極力避免用單獨一個系統(tǒng)來管理所有API。IBM的集成工程總監(jiān)Tony Curcio表示,他的許多客戶企業(yè)已經在使用包含典型內部基礎設施的混合架構,同時跨多家云供應商,采用SaaS和IaaS模式來獲取服務。
這些體系結構旨在提高安全韌性和靈活性。但我們清楚地意識到,這會使集中化工作變得更加復雜,也就是說:提高安全韌性和靈活性的代價是集中化工作的復雜化。因此,就必須要有一個的集中的API管控位置,以確保API相關業(yè)務活動的可視性以及更好地管理。
因為隨著時間的推移,這種復雜程度可能會不斷加深,所以安全團隊面臨的問題是,沒有一個集中的地方可以讓開發(fā)團隊管理所有API。此外,這種復雜性并不僅局限在基礎設施層,而是會持續(xù)到應用層。
Deloitte的高級技術執(zhí)行官Moe Shamim認為非整體應用程序開發(fā)是關鍵。他聲稱,為了保持競爭力,同時將威脅降至最低,組織現在必須將數百萬行的代碼分解為基于API的模塊化流程和系統(tǒng)。這需要將API網關、IAM、節(jié)流等因素納入考慮,來進行重新的思考。這意味著需要花費大量的時間和資源。
隨著時間的推移,組織的API足跡不再有規(guī)律地增加。他們由各種API組成,包括兼并和收購而來的API、版本控制API、內部API、第三方API以及一些偏離預期用途、開發(fā)、測試、調試和診斷目的API等。然而,許多API都沒有文檔記錄和管理,甚至有些連保護措施都沒有,這使得復雜性問題變得更加嚴重。
“Shadow APIs”從何而來?
在這種混合云的現實背景下,將相同的程序運行于不同的企業(yè)資產所在環(huán)境中是一種挑戰(zhàn)。在選擇技術棧時,應該考慮到這一挑戰(zhàn),以便在任何地方都能順利地落實政策并實施治理。
但這說起來容易做起來難,尤其是在收購其他組織,或與其他組織合并的成功企業(yè)中:每個業(yè)務都使用著不同的技術,并且需要為每個新增環(huán)境都設置一個自定制的API安全流程。
API生命周期?API工作方式!
根據Moe Shamim的說法,API的生命周期可以歸結為下圖。在制定API安全策略時,必須考慮架構、分布、設計以及影響組織開發(fā)API方法的其他方面。你可以將這些方面視為在API生命周期中每個階段引入的控件。它本質上與上述的可視性和集中性有關。
一張關于API生命周期的圖
設計階段決定了API是僅在網絡防火墻內使用還是公開使用,以及身份驗證等問題。同時它還將涉及更多的技術問題,如開發(fā)、網關類型以及使用的編程語言。重要的是考慮到威脅模型的同時,做出一個與你工具的生態(tài)系統(tǒng)相一致的選擇,這適用于你做出的每一個有關安全態(tài)勢的決定。
構建階段,必須掃描OWASP前10個問題。對此,SAST工具是個很好的選擇。滲透測試和版本控制雖不一定會集成到安全態(tài)勢中,但它們都是強大的機制,有益于擴充你的安全“軍火庫”。
運營階段包括節(jié)流、緩存和日志記錄等問題。完備的日志記錄和監(jiān)控機制是修復階段的必備工具,它能夠幫助修復不同版本的漏洞。
最后但卻同樣重要的是下線階段。刪除不再使用的端點是一項基本的最佳做法;一般情況下,如果你不再需要一項服務,那么就不要讓它一直處于開啟狀態(tài)。如果你不再需要某個API了,就關掉它;云賬戶也是如此。
Tony Curcio聲稱,API項目治理的關鍵原則之一是API的開發(fā)人員、產品經理和消費者之間的協(xié)作。查看每個角色的安全配置,并對確保使用安全的API策略進行協(xié)調,這是組織安全態(tài)勢的一個基本方面。
在組織內樹立API優(yōu)先的理念是有益的。例如,IBM開發(fā)了自己的API管理技術,使他們能夠更容易地公開和保護自己的API。但像Imvison那樣,擁有先進的API技術,還有很長的路要走。他們的人工智能技術幫助我們更多地了解,包括其來源等關鍵問題的攻擊途徑。
采取情報主導的安全應對方式
MAERSK的高級解決方案架構師Gabriel Maties提出了另一種觀點。由于MAERSK有著三年的API項目經驗,并且期間遭遇了一場嚴重的危機,所以在網絡安全方面,他一直認為即使不能比攻擊者做得更好,至少也要做得與其同樣好。
Gabriel分享了他對可視性的看法,因為API管理在內部共享資源,所以他從一開始就將API管理視為一項多參與者的工作。因此,系統(tǒng)的每個入口點及其支持機制都應該進行仔細的檢查并集中監(jiān)控。
這種集中化很重要,因為可視性是多維的,從來沒有監(jiān)控某個單獨的方面。這就需要對API進行全面的了解,使你能夠輕松了解API部署在哪里、擁有者是誰、使用者是誰、如何使用、正常使用的狀態(tài)是什么樣的以及每個API如何受到保護等問題。而且,集中化還有利于更好地了解每個API的生命周期是什么樣的、存在多少版本、共享哪些數據、存儲在哪里以及誰在使用這些數據等問題。
集中化是確保以最大效益以及最小風險的方式,管理這個復雜生態(tài)系統(tǒng)的唯一方法。
一張可視性層次的圖
擁有集中的觀察能力可以進一步進行洞察,從而對觀察結果采取行動。可視化使你能夠觀察正在進行的、未知的主動攻擊,同時制定策略,并且使你能夠利用觀察得來的見解來采取行動。
基于規(guī)則的安全性是非常有效的,并且機器學習和深度學習這兩種技術可以使其自動化和程序化。主要是因為沒有其他可供選擇的技術來處理海量的數據。并且,這兩種技術還能夠實現自適應威脅保護來幫助應對新的威脅。
壞消息是,黑客也在使用同樣的技術,而且處理這些技術需要組織成熟度,以采取必要的行動。我們這里討論的是一些繁重的操作,比如關閉負載平衡器、切換防火墻,以及自動、快速地進行的其他基礎設施的更改。如果沒有整個組織的高度成熟度,就無法實現這一點。
監(jiān)督機器學習可以幫助組織提高這種成熟度。它使你能夠處理大量規(guī)則集并進行洞察,以便設計自動操作流。而且,數據科學在跟蹤特定攻擊者行為方面提供了重要的技術訣竅。當組織面臨不同資源或者持續(xù)的高級威脅時,這些訣竅至關重要。
規(guī)則和流程發(fā)生改變和更新時,這種以智能為主導的安全響應能夠依靠量化的證據做出持續(xù)的自適應、自反的響應。這是應對不斷增加且不斷復雜化攻擊的唯一方法。
黑屏:一個真實的攻擊事件
Gabriel談論過他在Maersk工作時經歷的一次真實攻擊。大約是在他加入Maersk九個月后的一天,他們的屏幕突然黑屏了。斷開服務器和拔插頭也都無濟于事。已經太晚了,短短幾分鐘之內,數千臺計算機便癱瘓了。
這不是以斂財為目的的攻擊,而是一次破壞性的攻擊,意在讓Maersk屈服。由于攻擊者使用了單向加密,所以Gabriel和他的團隊只能選擇重建系統(tǒng)。顯然,重建系統(tǒng)時,網絡安全是最為優(yōu)先的事項。他們認為動態(tài)分析至關重要,為的是進行實時分析,以增強持續(xù)學習和適應威脅的能力。因為80%的攻擊都是內部行為,所以他們的目標是了解哪些行為是正常的,以及哪些什么是不正常的。
攻擊發(fā)生后,Gabriel提出了可視性的、健康檢查的四個級別和一個能夠判斷系統(tǒng)安全是否受到損害的方法。現在,所有流程和架構決策都必須通過網絡安全評估,都必須通過大量的檢查和平衡處理。但這并不意味著必須滿足所有條件,才能獲得新流程或決策的批準。因為關鍵點在于推動你對自己差距和弱點的了解。這樣你才能利用合適的功能和供應商,來實現你的安全理念。
在過去兩年中,我們看到越來越多的組織采用特定的API工具來幫助監(jiān)控、發(fā)現和消除shadow API,以便更好地了解其風險。這是一個偉大的進步,因為API與我們的應用世界完全不同。采用專門為其構建的獨特工具和流程是保護API的唯一方法。
API安全:使董事會上船
正如我們所見,網絡安全攻擊數量和嚴重性正不斷提高,這引起了了許多企業(yè)的董事會和高管對API保護的重視。而提高可視性程度是讓高管了解所面臨風險的另一種方式。如果你能找到一種方法,讓你的高管們知道有多少未受保護的數據容易受到威脅,那么你已經贏了一半。
這種可見性反過來將增強一種更具適應性和自反性的網絡安全態(tài)勢,使你能夠不斷學習、洞察并調整自己的態(tài)勢,以應對不斷的新型攻擊。
在不同的企業(yè)資產中建立一致的、可視化的安全態(tài)勢是完善網絡安全戰(zhàn)略的核心原則。這種安全態(tài)勢必須考慮API生命周期的四個階段:設計、構建、運營和下線。為了正確地做到這一點,你必須選擇一種合適的技術。這種技術要能夠實施你在API安全管理初期所決定的策略、工具和治理。
最后,制定一個整體的、集中的戰(zhàn)略,以增強可見性來保護資產,也同樣重要。Imvision等創(chuàng)新公司提供的先進ML和深度學習技術一定可以幫助你實現這一目標。
點評
隨著API應用場景的增加,系統(tǒng)被攻擊的風險也不斷提升。API安全的維護不僅是網絡安全部門的工作,更要得到整個企業(yè),尤其是領導決策層的重視。可視化技術在API生命周期中的應用,使得網絡安全態(tài)勢以更加形象具體的方式,呈現給包括非技術人員在內的所有系統(tǒng)用戶。這樣不但能使用戶其更好地了解當前系統(tǒng)的安全狀態(tài),同時也充分發(fā)揮了群體決策的優(yōu)勢。
