偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

要有光:確保整個(gè)API生命周期的可視性

安全 應(yīng)用安全
可視化技術(shù)在API生命周期中的應(yīng)用,使得網(wǎng)絡(luò)安全態(tài)勢(shì)以更加形象具體的方式,呈現(xiàn)給包括非技術(shù)人員在內(nèi)的所有系統(tǒng)用戶(hù)。

在如今的開(kāi)放生態(tài)系統(tǒng)中,集中安全是一項(xiàng)挑戰(zhàn)

實(shí)現(xiàn)API可視化之前,我們必須認(rèn)識(shí)到的,當(dāng)今企業(yè)都在極力避免用單獨(dú)一個(gè)系統(tǒng)來(lái)管理所有API。IBM的集成工程總監(jiān)Tony Curcio表示,他的許多客戶(hù)企業(yè)已經(jīng)在使用包含典型內(nèi)部基礎(chǔ)設(shè)施的混合架構(gòu),同時(shí)跨多家云供應(yīng)商,采用SaaS和IaaS模式來(lái)獲取服務(wù)。

這些體系結(jié)構(gòu)旨在提高安全韌性和靈活性。但我們清楚地意識(shí)到,這會(huì)使集中化工作變得更加復(fù)雜,也就是說(shuō):提高安全韌性和靈活性的代價(jià)是集中化工作的復(fù)雜化。因此,就必須要有一個(gè)的集中的API管控位置,以確保API相關(guān)業(yè)務(wù)活動(dòng)的可視性以及更好地管理。

因?yàn)殡S著時(shí)間的推移,這種復(fù)雜程度可能會(huì)不斷加深,所以安全團(tuán)隊(duì)面臨的問(wèn)題是,沒(méi)有一個(gè)集中的地方可以讓開(kāi)發(fā)團(tuán)隊(duì)管理所有API。此外,這種復(fù)雜性并不僅局限在基礎(chǔ)設(shè)施層,而是會(huì)持續(xù)到應(yīng)用層。

Deloitte的高級(jí)技術(shù)執(zhí)行官M(fèi)oe Shamim認(rèn)為非整體應(yīng)用程序開(kāi)發(fā)是關(guān)鍵。他聲稱(chēng),為了保持競(jìng)爭(zhēng)力,同時(shí)將威脅降至最低,組織現(xiàn)在必須將數(shù)百萬(wàn)行的代碼分解為基于API的模塊化流程和系統(tǒng)。這需要將API網(wǎng)關(guān)、IAM、節(jié)流等因素納入考慮,來(lái)進(jìn)行重新的思考。這意味著需要花費(fèi)大量的時(shí)間和資源。

隨著時(shí)間的推移,組織的API足跡不再有規(guī)律地增加。他們由各種API組成,包括兼并和收購(gòu)而來(lái)的API、版本控制API、內(nèi)部API、第三方API以及一些偏離預(yù)期用途、開(kāi)發(fā)、測(cè)試、調(diào)試和診斷目的API等。然而,許多API都沒(méi)有文檔記錄和管理,甚至有些連保護(hù)措施都沒(méi)有,這使得復(fù)雜性問(wèn)題變得更加嚴(yán)重。

“Shadow APIs”從何而來(lái)?

在這種混合云的現(xiàn)實(shí)背景下,將相同的程序運(yùn)行于不同的企業(yè)資產(chǎn)所在環(huán)境中是一種挑戰(zhàn)。在選擇技術(shù)棧時(shí),應(yīng)該考慮到這一挑戰(zhàn),以便在任何地方都能順利地落實(shí)政策并實(shí)施治理。

但這說(shuō)起來(lái)容易做起來(lái)難,尤其是在收購(gòu)其他組織,或與其他組織合并的成功企業(yè)中:每個(gè)業(yè)務(wù)都使用著不同的技術(shù),并且需要為每個(gè)新增環(huán)境都設(shè)置一個(gè)自定制的API安全流程。

API生命周期?API工作方式!

根據(jù)Moe Shamim的說(shuō)法,API的生命周期可以歸結(jié)為下圖。在制定API安全策略時(shí),必須考慮架構(gòu)、分布、設(shè)計(jì)以及影響組織開(kāi)發(fā)API方法的其他方面。你可以將這些方面視為在API生命周期中每個(gè)階段引入的控件。它本質(zhì)上與上述的可視性和集中性有關(guān)。

一張關(guān)于API生命周期的圖

設(shè)計(jì)階段決定了API是僅在網(wǎng)絡(luò)防火墻內(nèi)使用還是公開(kāi)使用,以及身份驗(yàn)證等問(wèn)題。同時(shí)它還將涉及更多的技術(shù)問(wèn)題,如開(kāi)發(fā)、網(wǎng)關(guān)類(lèi)型以及使用的編程語(yǔ)言。重要的是考慮到威脅模型的同時(shí),做出一個(gè)與你工具的生態(tài)系統(tǒng)相一致的選擇,這適用于你做出的每一個(gè)有關(guān)安全態(tài)勢(shì)的決定。

構(gòu)建階段,必須掃描OWASP前10個(gè)問(wèn)題。對(duì)此,SAST工具是個(gè)很好的選擇。滲透測(cè)試和版本控制雖不一定會(huì)集成到安全態(tài)勢(shì)中,但它們都是強(qiáng)大的機(jī)制,有益于擴(kuò)充你的安全“軍火庫(kù)”。

運(yùn)營(yíng)階段包括節(jié)流、緩存和日志記錄等問(wèn)題。完備的日志記錄和監(jiān)控機(jī)制是修復(fù)階段的必備工具,它能夠幫助修復(fù)不同版本的漏洞。

最后但卻同樣重要的是下線(xiàn)階段。刪除不再使用的端點(diǎn)是一項(xiàng)基本的最佳做法;一般情況下,如果你不再需要一項(xiàng)服務(wù),那么就不要讓它一直處于開(kāi)啟狀態(tài)。如果你不再需要某個(gè)API了,就關(guān)掉它;云賬戶(hù)也是如此。

Tony Curcio聲稱(chēng),API項(xiàng)目治理的關(guān)鍵原則之一是API的開(kāi)發(fā)人員、產(chǎn)品經(jīng)理和消費(fèi)者之間的協(xié)作。查看每個(gè)角色的安全配置,并對(duì)確保使用安全的API策略進(jìn)行協(xié)調(diào),這是組織安全態(tài)勢(shì)的一個(gè)基本方面。

在組織內(nèi)樹(shù)立API優(yōu)先的理念是有益的。例如,IBM開(kāi)發(fā)了自己的API管理技術(shù),使他們能夠更容易地公開(kāi)和保護(hù)自己的API。但像Imvison那樣,擁有先進(jìn)的API技術(shù),還有很長(zhǎng)的路要走。他們的人工智能技術(shù)幫助我們更多地了解,包括其來(lái)源等關(guān)鍵問(wèn)題的攻擊途徑。

采取情報(bào)主導(dǎo)的安全應(yīng)對(duì)方式

MAERSK的高級(jí)解決方案架構(gòu)師Gabriel Maties提出了另一種觀點(diǎn)。由于MAERSK有著三年的API項(xiàng)目經(jīng)驗(yàn),并且期間遭遇了一場(chǎng)嚴(yán)重的危機(jī),所以在網(wǎng)絡(luò)安全方面,他一直認(rèn)為即使不能比攻擊者做得更好,至少也要做得與其同樣好。

Gabriel分享了他對(duì)可視性的看法,因?yàn)锳PI管理在內(nèi)部共享資源,所以他從一開(kāi)始就將API管理視為一項(xiàng)多參與者的工作。因此,系統(tǒng)的每個(gè)入口點(diǎn)及其支持機(jī)制都應(yīng)該進(jìn)行仔細(xì)的檢查并集中監(jiān)控。

這種集中化很重要,因?yàn)榭梢曅允嵌嗑S的,從來(lái)沒(méi)有監(jiān)控某個(gè)單獨(dú)的方面。這就需要對(duì)API進(jìn)行全面的了解,使你能夠輕松了解API部署在哪里、擁有者是誰(shuí)、使用者是誰(shuí)、如何使用、正常使用的狀態(tài)是什么樣的以及每個(gè)API如何受到保護(hù)等問(wèn)題。而且,集中化還有利于更好地了解每個(gè)API的生命周期是什么樣的、存在多少版本、共享哪些數(shù)據(jù)、存儲(chǔ)在哪里以及誰(shuí)在使用這些數(shù)據(jù)等問(wèn)題。

集中化是確保以最大效益以及最小風(fēng)險(xiǎn)的方式,管理這個(gè)復(fù)雜生態(tài)系統(tǒng)的唯一方法。

一張可視性層次的圖

擁有集中的觀察能力可以進(jìn)一步進(jìn)行洞察,從而對(duì)觀察結(jié)果采取行動(dòng)??梢暬鼓隳軌蛴^察正在進(jìn)行的、未知的主動(dòng)攻擊,同時(shí)制定策略,并且使你能夠利用觀察得來(lái)的見(jiàn)解來(lái)采取行動(dòng)。

基于規(guī)則的安全性是非常有效的,并且機(jī)器學(xué)習(xí)和深度學(xué)習(xí)這兩種技術(shù)可以使其自動(dòng)化和程序化。主要是因?yàn)闆](méi)有其他可供選擇的技術(shù)來(lái)處理海量的數(shù)據(jù)。并且,這兩種技術(shù)還能夠?qū)崿F(xiàn)自適應(yīng)威脅保護(hù)來(lái)幫助應(yīng)對(duì)新的威脅。

壞消息是,黑客也在使用同樣的技術(shù),而且處理這些技術(shù)需要組織成熟度,以采取必要的行動(dòng)。我們這里討論的是一些繁重的操作,比如關(guān)閉負(fù)載平衡器、切換防火墻,以及自動(dòng)、快速地進(jìn)行的其他基礎(chǔ)設(shè)施的更改。如果沒(méi)有整個(gè)組織的高度成熟度,就無(wú)法實(shí)現(xiàn)這一點(diǎn)。

監(jiān)督機(jī)器學(xué)習(xí)可以幫助組織提高這種成熟度。它使你能夠處理大量規(guī)則集并進(jìn)行洞察,以便設(shè)計(jì)自動(dòng)操作流。而且,數(shù)據(jù)科學(xué)在跟蹤特定攻擊者行為方面提供了重要的技術(shù)訣竅。當(dāng)組織面臨不同資源或者持續(xù)的高級(jí)威脅時(shí),這些訣竅至關(guān)重要。

規(guī)則和流程發(fā)生改變和更新時(shí),這種以智能為主導(dǎo)的安全響應(yīng)能夠依靠量化的證據(jù)做出持續(xù)的自適應(yīng)、自反的響應(yīng)。這是應(yīng)對(duì)不斷增加且不斷復(fù)雜化攻擊的唯一方法。

黑屏:一個(gè)真實(shí)的攻擊事件

Gabriel談?wù)撨^(guò)他在Maersk工作時(shí)經(jīng)歷的一次真實(shí)攻擊。大約是在他加入Maersk九個(gè)月后的一天,他們的屏幕突然黑屏了。斷開(kāi)服務(wù)器和拔插頭也都無(wú)濟(jì)于事。已經(jīng)太晚了,短短幾分鐘之內(nèi),數(shù)千臺(tái)計(jì)算機(jī)便癱瘓了。

這不是以斂財(cái)為目的的攻擊,而是一次破壞性的攻擊,意在讓Maersk屈服。由于攻擊者使用了單向加密,所以Gabriel和他的團(tuán)隊(duì)只能選擇重建系統(tǒng)。顯然,重建系統(tǒng)時(shí),網(wǎng)絡(luò)安全是最為優(yōu)先的事項(xiàng)。他們認(rèn)為動(dòng)態(tài)分析至關(guān)重要,為的是進(jìn)行實(shí)時(shí)分析,以增強(qiáng)持續(xù)學(xué)習(xí)和適應(yīng)威脅的能力。因?yàn)?0%的攻擊都是內(nèi)部行為,所以他們的目標(biāo)是了解哪些行為是正常的,以及哪些什么是不正常的。

攻擊發(fā)生后,Gabriel提出了可視性的、健康檢查的四個(gè)級(jí)別和一個(gè)能夠判斷系統(tǒng)安全是否受到損害的方法?,F(xiàn)在,所有流程和架構(gòu)決策都必須通過(guò)網(wǎng)絡(luò)安全評(píng)估,都必須通過(guò)大量的檢查和平衡處理。但這并不意味著必須滿(mǎn)足所有條件,才能獲得新流程或決策的批準(zhǔn)。因?yàn)殛P(guān)鍵點(diǎn)在于推動(dòng)你對(duì)自己差距和弱點(diǎn)的了解。這樣你才能利用合適的功能和供應(yīng)商,來(lái)實(shí)現(xiàn)你的安全理念。

在過(guò)去兩年中,我們看到越來(lái)越多的組織采用特定的API工具來(lái)幫助監(jiān)控、發(fā)現(xiàn)和消除shadow API,以便更好地了解其風(fēng)險(xiǎn)。這是一個(gè)偉大的進(jìn)步,因?yàn)锳PI與我們的應(yīng)用世界完全不同。采用專(zhuān)門(mén)為其構(gòu)建的獨(dú)特工具和流程是保護(hù)API的唯一方法。

API安全:使董事會(huì)上船

正如我們所見(jiàn),網(wǎng)絡(luò)安全攻擊數(shù)量和嚴(yán)重性正不斷提高,這引起了了許多企業(yè)的董事會(huì)和高管對(duì)API保護(hù)的重視。而提高可視性程度是讓高管了解所面臨風(fēng)險(xiǎn)的另一種方式。如果你能找到一種方法,讓你的高管們知道有多少未受保護(hù)的數(shù)據(jù)容易受到威脅,那么你已經(jīng)贏了一半。

這種可見(jiàn)性反過(guò)來(lái)將增強(qiáng)一種更具適應(yīng)性和自反性的網(wǎng)絡(luò)安全態(tài)勢(shì),使你能夠不斷學(xué)習(xí)、洞察并調(diào)整自己的態(tài)勢(shì),以應(yīng)對(duì)不斷的新型攻擊。

在不同的企業(yè)資產(chǎn)中建立一致的、可視化的安全態(tài)勢(shì)是完善網(wǎng)絡(luò)安全戰(zhàn)略的核心原則。這種安全態(tài)勢(shì)必須考慮API生命周期的四個(gè)階段:設(shè)計(jì)、構(gòu)建、運(yùn)營(yíng)和下線(xiàn)。為了正確地做到這一點(diǎn),你必須選擇一種合適的技術(shù)。這種技術(shù)要能夠?qū)嵤┠阍贏PI安全管理初期所決定的策略、工具和治理。

最后,制定一個(gè)整體的、集中的戰(zhàn)略,以增強(qiáng)可見(jiàn)性來(lái)保護(hù)資產(chǎn),也同樣重要。Imvision等創(chuàng)新公司提供的先進(jìn)ML和深度學(xué)習(xí)技術(shù)一定可以幫助你實(shí)現(xiàn)這一目標(biāo)。

點(diǎn)評(píng)

隨著API應(yīng)用場(chǎng)景的增加,系統(tǒng)被攻擊的風(fēng)險(xiǎn)也不斷提升。API安全的維護(hù)不僅是網(wǎng)絡(luò)安全部門(mén)的工作,更要得到整個(gè)企業(yè),尤其是領(lǐng)導(dǎo)決策層的重視??梢暬夹g(shù)在API生命周期中的應(yīng)用,使得網(wǎng)絡(luò)安全態(tài)勢(shì)以更加形象具體的方式,呈現(xiàn)給包括非技術(shù)人員在內(nèi)的所有系統(tǒng)用戶(hù)。這樣不但能使用戶(hù)其更好地了解當(dāng)前系統(tǒng)的安全狀態(tài),同時(shí)也充分發(fā)揮了群體決策的優(yōu)勢(shì)。

責(zé)任編輯:趙寧寧 來(lái)源: 數(shù)世咨詢(xún)
相關(guān)推薦

2012-06-07 09:49:28

廣域網(wǎng)WAN

2012-06-06 15:55:36

Hadoop數(shù)據(jù)

2015-07-08 16:28:23

weak生命周期

2022-04-19 07:20:24

軟件開(kāi)發(fā)安全生命周期SSDLC應(yīng)用安全

2010-07-14 10:48:37

Perl線(xiàn)程

2009-06-11 11:28:35

JSF生命周期

2015-07-08 16:44:02

雷蛇烈焰神

2022-08-23 13:36:06

數(shù)字化轉(zhuǎn)型大數(shù)據(jù)物聯(lián)網(wǎng)

2019-07-30 10:16:41

云計(jì)算IT混合云

2018-05-03 09:36:19

多云環(huán)境云計(jì)算可視

2020-04-18 20:21:16

網(wǎng)絡(luò)安全可視性安全工具

2009-06-18 13:32:39

Java線(xiàn)程生命周期

2012-04-28 13:23:12

Java類(lèi)生命周期

2011-06-16 09:31:21

ActivityAndroid

2021-06-06 22:39:48

網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)攻擊

2013-07-29 05:11:38

iOS開(kāi)發(fā)iOS開(kāi)發(fā)學(xué)習(xí)類(lèi)的'生命周期'

2012-01-16 09:00:56

線(xiàn)程

2009-06-17 15:06:50

Hibernate實(shí)體

2019-10-16 10:50:13

Linux內(nèi)核測(cè)試
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)