到去年末，移動(dòng)互聯(lián)網(wǎng)的使用量已超過臺(tái)式機(jī)的使用量。無論是移動(dòng)消費(fèi)者，移動(dòng)工作人員還是移動(dòng)服務(wù)，許多業(yè)務(wù)交易的一部分都在移動(dòng)中完成。旅途中的信任始于身份驗(yàn)證，但不僅僅是用戶ID和密碼。你真的說你是誰嗎？您可以信任要使用的服務(wù)嗎？您可以信任用于訪問該服務(wù)的應(yīng)用程序嗎？您的裝置安全嗎？當(dāng)您在旅途中時(shí)，零信任意味著參與鏈中的每個(gè)環(huán)節(jié)，無論是人員，軟件還是硬件，都必須經(jīng)過身份驗(yàn)證。

　　移動(dòng)流量就是API流量

我們?cè)絹碓蕉嗟幕顒?dòng)和信息正在移動(dòng)設(shè)備上存儲(chǔ)和執(zhí)行。黑客當(dāng)然不會(huì)錯(cuò)過這一趨勢(shì)。來自2019年的報(bào)告中指出，一系列犯罪和有針對(duì)性的攻擊者團(tuán)體正在增加對(duì)移動(dòng)平臺(tái)的攻擊，而移動(dòng)安全成熟度水平則落后于傳統(tǒng)平臺(tái)，導(dǎo)致攻擊者在受感染的移動(dòng)設(shè)備上的停留時(shí)間延長(zhǎng)。

同時(shí)，過去五年來，互聯(lián)網(wǎng)上的API流量激增。2014年，通過其安全CDN的流量中有47%是API數(shù)據(jù)包，而在2018年，這些API數(shù)據(jù)包已增長(zhǎng)到83安全流量的百分比。

在傳統(tǒng)的基于瀏覽器的應(yīng)用程序中，數(shù)據(jù)處理是在服務(wù)器端進(jìn)行的，結(jié)果網(wǎng)頁(yè)顯示的狀態(tài)或結(jié)構(gòu)化數(shù)據(jù)很少存儲(chǔ)在瀏覽器中。

相比之下，移動(dòng)應(yīng)用程序使用API來發(fā)送和接收數(shù)據(jù)，而該應(yīng)用程序則管理UI并維護(hù)狀態(tài)和設(shè)備上的更多數(shù)據(jù)。

認(rèn)識(shí)到API在現(xiàn)代應(yīng)用程序體系結(jié)構(gòu)中的使用不斷增長(zhǎng)，OWASP發(fā)起了API安全項(xiàng)目并于2019年發(fā)布了OWASP Top 10：

· API1：損壞的對(duì)象級(jí)別授權(quán)

· API2：身份驗(yàn)證失敗

· API3：數(shù)據(jù)暴露過多

· API4：缺乏資源和速率限制

· API5：損壞的功能級(jí)別授權(quán)

· API6：批量分配

· API7：安全性配置錯(cuò)誤

· API8：注射

· API9：資產(chǎn)管理不當(dāng)

API會(huì)公開敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)功能，因此，身份驗(yàn)證和授權(quán)自然會(huì)在十大風(fēng)險(xiǎn)中扮演重要角色。請(qǐng)仔細(xì)注意，如果只有經(jīng)過身份驗(yàn)證的用戶的經(jīng)過身份驗(yàn)證的應(yīng)用程序有權(quán)進(jìn)行API調(diào)用，那么其他API安全漏洞也將受到保護(hù)，以防止被利用。

　　上下文中的身份驗(yàn)證

人們常常認(rèn)為認(rèn)證只是用戶認(rèn)證。如果是這種情況，那么黑客將努力收集用戶憑證，接管帳戶并滲透后端服務(wù)，并從任何設(shè)備或機(jī)器人隨意調(diào)用API。

在2018年的八個(gè)月中，檢測(cè)到27985920324次憑據(jù)濫用嘗試。

完全依靠用戶憑證顯然是一個(gè)壞主意。還可以考慮許多其他指標(biāo)：進(jìn)行API調(diào)用的應(yīng)用程序的身份，設(shè)備的時(shí)間和位置，以前的API調(diào)用的順序，驗(yàn)證碼，人類行為感知，生物特征等等。

這些因素中的一些因素會(huì)限制隱私權(quán)，而其他因素可能會(huì)給用戶帶來極大的不便。沒有一個(gè)因素是足夠的，但是對(duì)API調(diào)用周圍的更多上下文進(jìn)行身份驗(yàn)證將導(dǎo)致更具彈性的身份驗(yàn)證。

　　應(yīng)用程序身份驗(yàn)證作為關(guān)鍵上下文指示器

對(duì)正在調(diào)用的用戶進(jìn)行身份驗(yàn)證很重要，但是了解并信任正在調(diào)用的應(yīng)用程序，甚至知道它是真實(shí)的應(yīng)用程序而不是機(jī)器人，也是一個(gè)重要的上下文指示。

如果您可以確保調(diào)用的應(yīng)用程序是真實(shí)的，沒有被篡改并在安全的環(huán)境中運(yùn)行，那么您已將API調(diào)用的有效負(fù)載和序列限制為有效應(yīng)用程序的API和有效載荷，以及使用被盜的外部bot攻擊用戶憑據(jù)已關(guān)閉。

不幸的是，API密鑰是用于將應(yīng)用識(shí)別為正版的常見做法。API密鑰太容易被盜，一旦被盜，它們就可以在應(yīng)用程序外部輕松使用，以任何順序?qū)θ魏螖?shù)據(jù)進(jìn)行API調(diào)用。

　　應(yīng)用程序證明-更智能的API密鑰

即使API密鑰是安全的，它們也無法防止應(yīng)用程序被篡改，也無法評(píng)估運(yùn)行時(shí)環(huán)境的安全性。應(yīng)用程序身份驗(yàn)證需要擴(kuò)展到靜態(tài)標(biāo)識(shí)之外，并且必須不斷評(píng)估應(yīng)用程序的完整性。

當(dāng)應(yīng)用程序身份驗(yàn)證更加全面和動(dòng)態(tài)時(shí)，通常稱為“軟件證明”，或在這種情況下稱為“移動(dòng)應(yīng)用程序證明”。例如，在2019年，宣布了新的PCI安全標(biāo)準(zhǔn)，用于在商用現(xiàn)貨設(shè)備上基于軟件的PIN輸入，該標(biāo)準(zhǔn)支持在付款時(shí)將客戶PIN輸入到電話或平板電腦等商業(yè)設(shè)備中卡是通過小型安全設(shè)備處理的。使用軟件證明檢查，而不是依賴于靜態(tài)身份驗(yàn)證數(shù)據(jù)。

尋找證明變得更加普遍，尤其是在移動(dòng)環(huán)境中，以確保客戶端應(yīng)用程序的真實(shí)性。

　　采取行動(dòng)

就像陳詞濫調(diào)一樣，一條鏈的強(qiáng)度與其最弱的鏈接一樣強(qiáng)，因此每個(gè)鏈接都應(yīng)經(jīng)過正確的身份驗(yàn)證。這反映在越來越多的尋求更多上下文因素的推動(dòng)中，而不僅僅是基本的ID和密碼憑據(jù)。為了確保API安全，必須增強(qiáng)應(yīng)用程序身份驗(yàn)證技術(shù)。像PCI SPOC規(guī)范一樣，軟件認(rèn)證將日益成為零信任API安全的要求。

以上就是關(guān)于正確獲得身份驗(yàn)證，確保API安全的全部?jī)?nèi)容，想了解更多關(guān)于API安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。