偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

全球知名汽車品牌全面淪陷,API應用安全再次敲響警鐘!

安全 應用安全
API應用安全問題不僅僅是在汽車制造領域存在。一項最新的研究數(shù)據(jù)表明,在過去的一年中,大約95%的受訪企業(yè)遭遇過API應用安全事件。此外,由于API安全威脅,50%以上的受訪企業(yè)不得不推遲業(yè)務應用程序的發(fā)布和更新。

面向API應用的網(wǎng)絡攻擊已經(jīng)開始對各大企業(yè)組織造成嚴重的破壞。因此,每家組織都需要提升對API應用安全的重視度。日前,網(wǎng)絡安全研究員Sam Curry和他領導的研究團隊,在數(shù)十家全球頂級汽車制造商生產(chǎn)的車輛和車聯(lián)網(wǎng)服務中,發(fā)現(xiàn)了許多API應用缺陷,利用這些缺陷,攻擊者可以進行廣泛的惡意活動,從非法竊取車主個人隱私信息,到遠程解鎖車輛、監(jiān)控車輛等。

Sam Curry表示,通過深入的研究分析和實際測試,他的團隊發(fā)現(xiàn)API應用安全問題幾乎影響了目前所有主流的汽車品牌,包括奔馳、寶馬、勞斯萊斯、法拉利、保時捷、捷豹、路虎、本田、英菲尼迪、日產(chǎn)、謳歌、豐田、福特等20多個知名品牌。此外,研究團隊還發(fā)現(xiàn),在Reviver、SiriusXM和Spireon等主流車聯(lián)網(wǎng)服務商的應用方案中,同樣存在大量嚴重的API安全缺陷。

據(jù)了解,通過利用所發(fā)現(xiàn)的API安全缺陷,研究人員成功進入了配置不當?shù)腟SO系統(tǒng),成功訪問了奔馳、寶馬等車企的多個內(nèi)部業(yè)務系統(tǒng),以及其中大量的員工和客戶信息數(shù)據(jù)。例如對奔馳公司的測試中,研究人員成功訪問了多個私有GitHub實例、Mattermost上的內(nèi)部聊天頻道、服務器、Jenkins和AWS實例,并連接到客戶車輛的XENTRY系統(tǒng)等;而在對寶馬公司的測試中,研究人員通過訪問內(nèi)部經(jīng)銷商網(wǎng)站,超權限查詢了客戶汽車的VIN,并檢索出了包含敏感車主詳細信息的銷售文檔。一旦這些安全問題被真實的攻擊者發(fā)現(xiàn),后果將不堪設想。

API已成為關鍵性安全問題

其實,API應用安全問題不僅僅是在汽車制造領域存在。一項最新的研究數(shù)據(jù)表明,在過去的一年中,大約95%的受訪企業(yè)遭遇過API應用安全事件。此外,由于API安全威脅,50%以上的受訪企業(yè)不得不推遲業(yè)務應用程序的發(fā)布和更新。

為什么API安全已成為一個快速發(fā)展且急需有效解決的安全問題呢?主要原因如下:

  • 不斷變化的環(huán)境:隨著組織在其信息化基礎架構中添加更多的應用程序和軟件,它們在不知不覺中集成了大量不同的API應用。所有這些API都是不同的,是由不同的開發(fā)者設計提供。因此,一般性的安全方法無法充分保護如此多樣化的API應用;
  • 獨特的網(wǎng)絡攻擊:由于每個API都很獨特,因此它也往往會存在獨特的安全缺陷,攻擊者會發(fā)現(xiàn)利用這些缺陷將有利可圖。不同于傳統(tǒng)的跨站腳本和SQL注入攻擊,API應用缺陷更多是因為業(yè)務邏輯方面的不足導致,利用這些漏洞會影響組織數(shù)據(jù)的完整性;
  • 漏洞檢測延遲:傳統(tǒng)的應用系統(tǒng)測試工具常在開發(fā)的后期階段使用。然而面對API應用時,這種延遲掃描的效果往往不是很理想。此外,在開發(fā)的最后階段使用傳統(tǒng)的安全工具可能會生成更多的誤報。

API安全防護的挑戰(zhàn)

API的安全挑戰(zhàn)正在不斷出現(xiàn),但是企業(yè)在大量應用安全防護工具應對API安全威脅時卻表現(xiàn)得差強人意,原因是什么呢?

1、API不同于Web應用程序

對于API安全防護而言,大多數(shù)目前的應用程序安全工具無效的主要原因是IT團隊采用安全方法太傳統(tǒng)。企業(yè)先要意識到雖然API是Web應用程序基礎設施的一部分,但它不僅僅是Web應用程序。兩者不一樣,它們有不同的安全漏洞,因此需要專門的保護策略。

比如說,失效的對象級授權(BOLA)是較為普遍的API安全問題之一。當API將處理對象標識符的端點暴露在已驗證但未授權的用戶面前時,就存在這個問題。由于大量復雜的微服務參與其中,BOLA問題是傳統(tǒng)Web應用程序安全工具無法充分解決的。但是事實上,很多企業(yè)繼續(xù)通過DAST工具來處理這類安全問題。由此帶來的虛假安全感,正是API安全問題不斷嚴重的原因之一。

2、應用程序安全不是為了保護API

大多數(shù)應用程序安全工具不能有效保護API應用的主要原因在于其固有的技術局限性。

比如說,靜態(tài)應用程序安全測試(SAST)不適用于API,是因為SAST主要依靠源代碼檢查和數(shù)據(jù)流建模來確定漏洞是如何發(fā)生的。由于使用復雜的第三方框架和庫,SAST掃描器無法將相同的方法運用于API。因此,在API上運行SAST工具時,將會生成太多的漏報,從而使實際的安全漏洞無法被有效檢測出來。

3、API安全測試延遲

使用應用程序安全工具來檢查應用程序的安全性常出現(xiàn)在軟件開發(fā)生命周期(SDLC)的后期,因為這些工具需要切實可行的應用程序來執(zhí)行測試。然而,這種方法不應該運用于API安全。由于基于微服務為中心的架構,開發(fā)人員需要在開發(fā)過程中測試各個API的漏洞。這種快速掃描讓組織可以將安全得多的API部署到基礎設施中,盡量降低未來的風險。

API安全方案的改進

隨著信息技術的快速發(fā)展,API安全防護也在持續(xù)演進過程中,多向量、自動化工具、武器化人工智能類的攻擊將成為API攻擊的主流,相應的,安全防護措施也需加強系統(tǒng)化、自動化、深度學習、智能化能力,向以體系對抗體系,以智能防護智能的方向演進。

傳統(tǒng)的應用程序安全工具不會毫無用處,企業(yè)仍然需要部署Web應用防火墻(WAF)、SAST和DAST等工具。但是為了實現(xiàn)更好的API防護效果,企業(yè)組織應該提前規(guī)劃,積極采用更先進的方法,結合人工智能、機器學習和行為分析等現(xiàn)代技術來檢測API應用中的缺陷。企業(yè)也可以考慮采用托管式的API保護服務,在此模式下,安全人員將不依賴過去的內(nèi)容輸入驗證,即可快速檢測新的安全漏洞,并API應用的特點提供針對性的保護。

此外,開發(fā)人員必須通過安全“左移”方法,確保其API在開發(fā)的早期階段,可以通過有效的方法檢測漏洞和修復漏洞。這有助于保證API實際應用后的可靠性和安全性。

責任編輯:姜華 來源: 安全牛
相關推薦

2013-04-22 14:43:49

2012-07-09 09:04:13

云計算谷歌微軟

2010-03-22 09:43:15

2025-04-22 06:51:59

2012-01-04 10:54:12

2021-03-18 10:26:43

比特幣黃金數(shù)字貨幣

2021-12-30 21:50:01

Redline密碼管理瀏覽器

2018-04-23 20:36:59

和易

2011-06-13 16:21:19

2014-10-09 13:15:33

2017-03-30 23:20:45

2020-12-24 16:51:05

勒索軟件工業(yè)控制系統(tǒng)網(wǎng)絡攻擊

2012-04-28 09:42:12

2025-06-17 15:18:33

大型推理模型LRM自主式AI

2023-01-10 00:11:56

2024-09-25 15:28:20

2023-01-05 22:47:48

2015-10-15 17:33:11

2019-10-11 22:07:48

物聯(lián)網(wǎng)技術物聯(lián)網(wǎng)IOT

2010-04-29 09:14:36

負載均衡奇瑞汽車Array Netwo
點贊
收藏

51CTO技術棧公眾號