Organizace musí aktualizovat své metody pro zabezpečení svých aplikačních programovacích rozhraní (zabezpečení API), včetně použití silnějšího ověřování, aby eliminovaly zastaralé zabezpečení API.
Uvedlo to tento týden britské Národní centrum pro kybernetickou bezpečnost (NCSC) v novém dokumentu s pokyny nazvanému „Zabezpečení rozhraní API na bázi HTTP“, který byl zveřejněn po několika významných porušeních API.
„Posílení zabezpečení API by nemělo být chápáno pouze jako ochranné opatření; může také umožnit organizacím zlepšit agilitu, jednoduchost a produktivitu,“ píše se v doprovodném blogu NCSC s názvem „Nové pokyny k zabezpečení API na bázi HTTP.“
Bohužel mnoho organizací spoléhá na zastaralé postupy zabezpečení API, včetně:
- Použití základní autentizace.
- Nedostatek možností omezování rychlosti a omezení uživatelů.
- Nechráněné koncové body.
- Pověření uložená v kódu.
- Použití adres URL k přenosu citlivých dat.
- Laxní ověření vstupu.
- Nešifrovaný provoz API přes HTTPs.
- Slabé protokolování a monitorování.
NCSC nabízí podrobná doporučení pro zvýšení zabezpečení vašich API založených na HTTP v oblastech, jako jsou:
- Vývojové postupy.
- Autentizace a autorizace.
- Ochrana dat během přepravy.
- Ověření vstupu.
- Zmírnění útoku denial-of-service.
- Logování a monitorování.
- Omezení expozice.
NCSC například doporučuje osvojit si silné ověřovací rámce, jako je OAuth 2.0 nebo autentizace na základě tokenů. Navrhuje také provést analýzu modelování hrozeb vašeho návrhu API.
Dalším doporučením je vyvíjet aplikace API v bezpečném vývojovém a doručovacím prostředí; a používat zabezpečené standardy, jako je JSON pro výměnu dat a kryptografie TLS pro přenášená data. Pro další informace nás neváhejte kontaktovat.
Zdroj: Tenable
