在美国,网络安全和基础架构安全局 (CISA) 负责维护已知 CVE 的目录。其他国家或地区也可能维护着类似的目录。
OWASP 十大 API 安全风险列表创建于 2019 年,并于 2023 年进行了更新。尽管它很有用,却跟不上攻击面的变化速度。仅在 2024 年,CISA 的目录中就新增了 24,000 多个新的 CVE,其中超过 500 个 CVE 与 API 相关(截至 2024 年 8 月中旬)。
若想全面保护贵企业免受已知漏洞的影响,需要双管齐下:
1. 确保您的开发和测试过程足够可靠,能够避免将已知漏洞带入生产环境中。2. 在发现新的漏洞后,尽快修补这些漏洞。
很多企业都难以完成这两个步骤。除此之外,他们还使用来自第三方来源的 API 和代码,这可能会带来一些单独的漏洞。2022 年,一个研究团队发现了一些严重 API 缺陷,这些缺陷影响了整个汽车行业中多家制造商。这些缺陷会暴露敏感的客户数据甚至车辆的位置,使攻击者能够通过被入侵的远程管理系统来解锁、启动汽车或使其无法运转。
如何防范?
贵企业要抵御已知漏洞可能造成的 API 攻击,一个众所周知的方法就是在安全补丁发布后迅速更新软件和系统。另外,还必须确保您的开发和测试过程综合全面,并严格遵循 API 安全防护最佳实践。
其中包括:
保护您的软件供应链:确保您使用的所有库、开源软件 (OSS) 和其他第三方代码都是安全的。
实施左移安全测试:将与 API 安全和软件测试相关的任务移至开发过程早期阶段。这可以帮助您发现一些漏洞,例如开发人员团队在需要快速发布软件或更新的压力下出现的代码编写错误和配置错误。
利用 API 安全态势管理:此功能将 API 发现与敏感数据识别及漏洞检测功能相结合,可确保修复工作首先集中在最关键的 API 上。
