애플리케이션 프로그래밍 인터페이스(API)는 디지털 혁명의 숨은 영웅입니다. 새로운 사용자 경험을 창출하기 위해 다양한 소프트웨어 구성 요소를 함께 붙이는 접착제를 제공합니다. 그러나 백엔드 데이터베이스에 대한 직접적인 경로를 제공하는 API는 또한 위협 행위자의 매력적인 표적. 최근 몇 년 동안 폭발적으로 증가하여 많은 배포가 문서화되지 않고 보안되지 않은 상태로 진행되는 것은 도움이 되지 않습니다.

에 따르면 최근 한 연구, 글로벌 조직의 94%가 지난 17년 동안 프로덕션에서 API 보안 문제를 경험했으며 거의 ​​XNUMX분의 XNUMX(XNUMX%)이 API 관련 위반을 겪었습니다. 이제 이러한 디지털 빌딩 블록에 대한 가시성과 통제력을 확보할 때입니다.

API 위협은 얼마나 나쁜가요?

API는 컴포저블 엔터프라이즈: 조직이 애플리케이션을 다음과 같이 세분화하도록 권장하는 Gartner 개념 패키지 비즈니스 기능 (PBC). 이러한 작은 구성 요소를 다양한 방법으로 조립하면 기업이 더 빠르고 민첩하게 움직일 수 있으므로 빠르게 진화하는 비즈니스 요구에 대응하여 새로운 기능과 경험을 창출할 수 있습니다. API는 최근 마이크로서비스 아키텍처의 채택이 증가함에 따라 사용이 급증한 PBC의 중요한 구성 요소입니다.

거의 모든(97%) 글로벌 IT 리더 그러므로 이제 동의한다 API 전략을 성공적으로 실행하는 것이 향후 수익과 성장에 매우 중요합니다. 그러나 점점 더 많은 양의 API와 여러 아키텍처 및 팀에 걸친 배포가 문제의 원인이 됩니다. 대기업에는 고객 및 파트너 대상 API가 수만 또는 수십만 개 있을 수 있습니다. 중간 규모의 조직도 수천 개를 운영할 수 있습니다.

기업에 미치는 영향은?

위협은 이론적인 것과도 거리가 멀다. 올해에만 우리는 다음을 보았습니다.

• T-Mobile USA 인정 37만 명의 고객이 API를 통해 악의적인 행위자가 개인 및 계정 정보에 액세스했다고 합니다.
• 잘못 구성된 OAuth(Open Authorization) 구현 사이트에서 심각한 사용자 계정 탈취 공격을 가능하게 했을 수 있는 Booking.com에서

API 위협으로 인해 위험에 처한 것은 기업 평판과 수익만이 아닙니다. 그들은 또한 중요한 비즈니스 프로젝트를 보류할 수 있습니다. 조직의 절반 이상(59%)이 주장  API 보안 문제로 인해 새로운 앱의 출시를 늦춰야 했습니다. 이것이 현재 이사회의 절반이 C급 토론 주제가 된 이유 중 하나입니다.

상위 XNUMX가지 API 위험

해커가 API를 악용할 수 있는 방법은 수십 가지가 있지만 OWASP는 조직에 대한 가장 큰 위협을 이해하려는 사람들이 찾는 리소스입니다. 그것은 OWASP API 보안 상위 10 2023 목록 다음 세 가지 주요 보안 위험에 대해 자세히 설명합니다.

1. BOLA(깨진 개체 수준 권한 부여): 요청자가 개체에 액세스해야 하는지 여부를 API에서 확인하지 못합니다. 이로 인해 데이터 도난, 수정 또는 삭제가 발생할 수 있습니다. 공격자는 문제가 존재한다는 사실만 알면 됩니다. BOLA를 악용하기 위해 코드 해킹이나 비밀번호 도난이 필요하지 않습니다.
2. 깨진 인증: 누락 및/또는 잘못 구현된 인증 보호. OWASP는 API 인증을 구현하는 방법에 대해 오해할 수 있는 많은 개발자에게 "복잡하고 혼란스러운" 작업이 될 수 있다고 경고합니다. 인증 메커니즘 자체도 누구에게나 노출되기 때문에 매력적인 대상이 됩니다. 인증을 담당하는 API 엔드포인트는 강화된 보호 기능을 통해 다른 엔드포인트와 다르게 취급되어야 합니다. 그리고 사용되는 모든 인증 메커니즘은 관련 공격 벡터에 적합해야 합니다.
3. BOPLA(Broken Object Property Level Authorization): 공격자는 액세스해서는 안 되는 개체 속성의 값을 읽거나 변경할 수 있습니다. API 엔드포인트는 민감한 것으로 간주되는 개체의 속성을 노출하는 경우("과도한 데이터 노출") 취약합니다. 또는 사용자가 민감한 개체의 속성 값을 변경, 추가/또는 삭제할 수 있도록 허용하는 경우("대량 할당"). 무단 액세스는 무단 당사자에게 데이터 공개, 데이터 손실 또는 데이터 조작을 초래할 수 있습니다.

이러한 취약점이 상호 배타적이지 않다는 점을 기억하는 것도 중요합니다. 최악의 API 기반 데이터 유출 중 일부는 BOLA 및 과도한 데이터 노출과 같은 익스플로잇의 조합으로 인해 발생했습니다.

API 위협을 완화하는 방법

위태로운 상황을 감안할 때 처음부터 모든 API 전략에 보안을 구축하는 것이 중요합니다. 즉, 모든 API의 위치를 ​​이해하고 엔드포인트 인증을 관리하고, 네트워크 통신을 보호하고, 일반적인 버그를 완화하고, 악성 봇의 위협에 대처하기 위한 도구와 기술을 계층화해야 합니다.

다음은 시작할 수 있는 몇 가지 장소입니다.

• API 거버넌스 개선 가시성과 통제력을 확보할 수 있는 API 중심 앱 개발 모델을 따릅니다. 그렇게 함으로써 소프트웨어 개발 수명 주기 초기에 컨트롤을 적용하고 CI/CD 파이프라인에서 자동화하도록 보안을 왼쪽으로 이동하게 됩니다.
• API 검색 도구 사용 조직에 이미 있는 섀도우 API의 수를 제거하고 API의 위치와 취약점이 포함되어 있는지 파악
• API 게이트웨이 배포 클라이언트 요청을 수락하고 올바른 백엔드 서비스로 라우팅합니다. 이 관리 도구는 API 트래픽을 인증, 제어, 모니터링 및 보호하는 데 도움이 됩니다.
• 웹 애플리케이션 방화벽(WAF) 추가 DDoS 및 악용 시도를 포함한 악의적인 트래픽을 차단하여 게이트웨이의 보안을 강화합니다.
• 모든 데이터 암호화(즉, TLS를 통해) API를 통해 이동하므로 중간자 공격에서 가로챌 수 없습니다.
• OAuth를 사용하여 API 액세스 제어 사용자 자격 증명을 노출하지 않고 웹사이트와 같은 리소스에
• 속도 제한을 적용하여 API를 호출할 수 있는 빈도를 제한합니다. 이렇게 하면 DDoS 공격 및 기타 원치 않는 급증으로 인한 위협이 완화됩니다.
• 모니터링 도구 사용 모든 보안 이벤트를 기록하고 의심스러운 활동에 플래그 지정
• 제로 트러스트 접근 방식 고려 경계 내부의 사용자, 자산 또는 리소스를 신뢰할 수 없다고 가정합니다. 대신 모든 작업에 대해 인증 및 승인 증명을 요구해야 합니다.

디지털 혁신은 현대 기업의 지속 가능한 성장을 지원하는 원동력입니다. 이는 API를 새로운 개발 프로젝트의 전면 및 중심에 둡니다. 엄격하게 문서화되고 안전한 설계 원칙에 따라 개발되며 다계층 접근 방식으로 프로덕션 환경에서 보호되어야 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
• PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
• 출처: https://www.welivesecurity.com/2023/06/01/top-3-api-security-risks-mitigate/