九九精品视频一区二区三区,青青草在线免费观看,国产AV夜夜欢一区二区三区,新国产美女精品一区二区

隨著互聯(lián)網(wǎng)的全面發(fā)展，API這個詞頻頻出現(xiàn)在大家的視線中。什么是API？API的全稱是Application Programming Interface，意譯為“應用程序接口”。HTTP接口），用于連接軟件系統(tǒng)的不同組件的約定。用于提供應用程序與開發(fā)人員基于某軟件或硬件得以訪問的一組例程，而又無需訪問源碼，或理解內(nèi)部工作機制的細節(jié)。

企業(yè)要注意針對網(wǎng)絡應用和API攻擊

今年4月，哥斯達黎加政府多個部門遭到國際知名勒索組織Conti軟件攻擊，導致該國進入緊急狀態(tài)。在這次攻擊中，數(shù)百個G的文件被盜，并被要求支付1000萬美元的贖金。據(jù)了解，Conti勒索軟件組織去年收取了高達1.8億美元的贖金。僅今年4月，Conti的受害企業(yè)數(shù)就達到了45家。

邊緣計算平臺Akamai最近的研究表明，Conti通過對易受攻擊的應用程序和系統(tǒng)進行自動攻擊，嘗試獲得對目標網(wǎng)絡的初始訪問權(quán)限。這提示企業(yè)組織要注意針對網(wǎng)絡應用程序和API的攻擊。

據(jù)研究部門Salt Labs發(fā)布的《2022年第一季度API安全狀況報告》顯示，在過去12個月中，惡意API流量增加了681%，95%的組織都經(jīng)歷了API安全事件。然而，大多數(shù)組織并沒有準備好應對這些挑戰(zhàn)，超過三分之一（34%）的企業(yè)沒有API安全策略。

為什么黑客對API情有獨鐘?

為什么API總是成為攻擊者的目標？概括地說，有以下三個原因：

1、目標容易找：API的職責是應用程序之間的調(diào)用，自然是公開暴露的。

2、攻擊潛在收益高：API攜帶大量重要數(shù)據(jù)和認證信息，一旦攻擊者成功攻破API，就可以直接訪問核心系統(tǒng)。

3、攻擊防范難度大：大量API權(quán)限沒有精細控制，很容易被攻擊者發(fā)現(xiàn)漏洞，從而輕松繞過邊界保護。

企業(yè)API安全防護怎么做?

針對企業(yè)API安全保護，綜合了網(wǎng)上部分安全建議，以供大家參考：

1、API資產(chǎn)的安全管理

企業(yè)應梳理開放API數(shù)量、API活躍狀態(tài)、僵尸API、影子API等，清理影子API，對流經(jīng)各個API的數(shù)據(jù)進行識別和分類，從各個方面對API的安全性進行嚴格測試和評估。

2、敏感數(shù)據(jù)分級分類

在通過流量對API資產(chǎn)進行梳理排序的同時，識別并提取流量中流動的敏感數(shù)據(jù)資產(chǎn)，并對提取的敏感數(shù)據(jù)類型進行分類，確保數(shù)據(jù)資產(chǎn)持續(xù)更新且可見。

3、API攻擊監(jiān)測和防護

面對越來越多的API攻擊和數(shù)據(jù)泄露風險，企業(yè)應從多維度構(gòu)建防御體系，更重要的是構(gòu)建基于風險情報的攻擊檢測模型，實現(xiàn)早期發(fā)現(xiàn)、及時防御，從而保護企業(yè)及其用戶的數(shù)據(jù)安全。