九九精品视频一区二区三区,青青草在线免费观看,国产AV夜夜欢一区二区三区,新国产美女精品一区二区

近年來企業(yè)網(wǎng)絡(luò)安全已然成為各行業(yè)的重點，提起攻防對抗，最受關(guān)注的可能是0day漏洞、網(wǎng)絡(luò)釣魚、供應(yīng)鏈風險等等，不過對于攻擊者來說，如果他想選擇一個方便易用的攻擊突破口，首選可能是API。隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用。尤其是疫情常態(tài)化之后，出現(xiàn)了許多協(xié)同辦公、在線教育、直播短視頻等在線應(yīng)用的發(fā)展。API不僅可以用來連接服務(wù)，還可以用來傳輸數(shù)據(jù)。隨著API的絕對數(shù)量的不斷增長，通過API傳遞的數(shù)據(jù)量也在快速增長。

到底什么是API？

API，中文名稱為“應(yīng)用程序編程接口”，就是軟件系統(tǒng)不同組成部分銜接的約定，是現(xiàn)代移動、SaaS和Web應(yīng)用程序的關(guān)鍵組成部分?？赡軟]有了解過的人聽起來比較難懂，但其實我們每個人的生活中都會接觸到API，如：每天打開手機查看天氣，天氣APP需要通過API提取數(shù)據(jù)，又或者到公司出差或旅游時需要上網(wǎng)查票，購票網(wǎng)站的更新數(shù)據(jù)也是通過API獲取，購票后打開OA提交流程，OA應(yīng)用??傳輸數(shù)據(jù)也是會使用到API。

API成為攻擊者的關(guān)鍵目標

有數(shù)據(jù)顯示，API作為輕量化技術(shù)，備受全球企業(yè)組織青睞，目前應(yīng)用接口呈現(xiàn)爆發(fā)式增長。與2019年相比，2020年API流量同比增長2.8倍，44%的企業(yè)正在構(gòu)建和維護100個或更多的API。

與此同時，API正在成為攻擊者的關(guān)鍵目標。根據(jù)Salt Security的《State of API Security Report,Q3 2021》報告，2021年上半年，API整體流量增長了141%，API攻擊流量增長了348%。API的攻擊流量呈倍速增長。報告還指出，安全問題是API項目最關(guān)心的問題，大部分受訪者對于識別和阻止API攻擊都沒有十足的把握。

API安全防護企業(yè)應(yīng)怎么做？API安全防護最佳實踐！

1、建立可信身份

企業(yè)應(yīng)建立可信身份，然后使用分配給這些身份的令牌來控制對服務(wù)和資源的訪問。使用加密和簽名，通過TLS等方式加密企業(yè)數(shù)據(jù)。要求使用簽名以確保只有授權(quán)用戶才能解密和修改數(shù)據(jù)。

2、識別漏洞

確保操作系統(tǒng)、網(wǎng)絡(luò)、驅(qū)動程序和API組件保持最新狀態(tài)。了解如何全面實現(xiàn)協(xié)同工作，分析訪問流量，自動發(fā)現(xiàn)流量中的API接口，對API接口進行自動識別、梳理和分組，以及識別將用于入侵您API的弱點，檢測安全問題并跟蹤數(shù)據(jù)泄露。

3、使用配額和限流

設(shè)置API調(diào)用頻率限額并跟蹤其使用記錄。若API調(diào)用的數(shù)量增加，它可能正被濫用，也可能是編程錯誤，例如在無限循環(huán)中調(diào)用API，指定限流規(guī)則，防止API調(diào)用激增和拒絕服務(wù)攻擊。

4、使用API網(wǎng)關(guān)

API網(wǎng)關(guān)擔當主要的API流量策略執(zhí)行點。良好的網(wǎng)關(guān)既能幫助您驗證流量的使用者身份，也能控制和分析您的API使用情況。

企業(yè)應(yīng)從API管控技術(shù)和數(shù)據(jù)保護手段方面入手，從API角度增強數(shù)據(jù)安全治理、保護、監(jiān)管等多個維度的維護。未來，對API進行細粒度管控將成為企業(yè)數(shù)據(jù)安全風險管控的關(guān)鍵。