خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چگونه خطرات امنیتی API را برای تقویت دفاع خود مدیریت کنید

ارشیا یوسفی ادیب ۸ مرداد, ۱۴۰۲ 6 min read

هکرها اغلب نه منبع داده، بلکه خود API را هدف قرار می دهند.

استفاده از رابط های برنامه نویسی کاربردی (API) به شدت افزایش یافته است. سازمان‌ها در حال حاضر برای انجام کارآمد عملکردهای روزانه به چندین API متکی هستند. این رشد استفاده از API ها API ها را در رادار هکرها قرار داده است و آنها را ترغیب به ابداع روش های نوآورانه برای سوء استفاده از آسیب پذیری های API کرده است.

چرا امنیت API حیاتی است و برای مدیریت ریسک های امنیتی API چه کاری می توانید انجام دهید؟ بیایید دریابیم.

چرا باید روی امنیت API تمرکز کنید؟

API ها در موبایل مدرن، SaaS و برنامه های کاربردی وب بسیار مهم هستند. سازمان‌ها از APIها در برنامه‌های مواجهه با مشتری، مواجهه با شریک و برنامه‌های داخلی استفاده می‌کنند. از آنجایی که API ها منطق برنامه و داده های حساسی مانند اطلاعات شناسایی شخصی (PII) را در معرض نمایش قرار می دهند، هکرها دائما تلاش زیادی برای دسترسی به API ها می کنند. API های هک شده اغلب منجر به نقض داده ها می شود و باعث آسیب مالی و اعتبار به سازمان ها می شود.

طبق تحقیقات Palo Alto Networks و ESG، 92 درصد از شرکت‌های مورد بررسی در سال 2022 یک حادثه امنیتی مرتبط با API را تجربه کردند. از این شرکت‌ها، 57 درصد شرکت‌ها چندین حادثه امنیتی مرتبط با API داشتند. با این حال، تقویت امنیت API برای جلوگیری از حملات API بسیار مهم است.

در اینجا چند راه برای کمک به شما برای به حداقل رساندن خطرات امنیتی مشترک API و محافظت از داده های حساس آورده شده است.

1. احراز هویت و مجوز امن را اجرا کنید

احراز هویت به این معنی است که درخواست دسترسی به یک منبع API از یک کاربر قانونی می آید و مجوز تضمین می کند که کاربر به منبع API درخواستی دسترسی مجاز دارد.

اجرای احراز هویت امن و ایمن API و مجوز اولین خط دفاعی در برابر دسترسی غیرمجاز به منابع API شما است.

در اینجا روش‌های احراز هویت ضروری برای APIها وجود دارد.

کلید ای پی ای

در این روش احراز هویت، یک کلاینت یک کلید API خواهد داشت که فقط مشتری و سرور API آن را می شناسند. هنگامی که یک کلاینت درخواستی برای دسترسی به یک منبع API ارسال می‌کند، کلیدی به درخواست متصل می‌شود تا به API اطلاع دهد که درخواست قانونی است.

مطلب مرتبط:   آیا ایمیل ارسالی از "Security@facebookmail.com" قانونی است؟

مشکلی در روش احراز هویت کلید API وجود دارد. اگر هکرها کلید API را در دست بگیرند می توانند به منابع API دسترسی پیدا کنند. بنابراین، رمزگذاری درخواست‌های API و پاسخ‌های API برای جلوگیری از سرقت کلیدهای API توسط هکرها بسیار مهم است.

نام کاربری و رمز عبور

پنجره ورود و ثبت نام

شما می توانید روش نام کاربری و رمز عبور را برای احراز هویت درخواست های API پیاده سازی کنید. اما بدانید که هکرها از ترفندهای مختلفی برای هک رمز عبور استفاده می کنند. و کلاینت‌های API همچنین می‌توانند نام کاربری و رمز عبور خود را با اشخاص غیرقابل اعتماد به اشتراک بگذارند. بنابراین روش نام کاربری و رمز عبور امنیت مطلوبی را ارائه نمی‌دهد.

TLS متقابل (mTLS)

در روش احراز هویت متقابل TLS، هر دو نقطه پایانی API و کلاینت‌ها دارای گواهی TLS هستند. و آنها با استفاده از این گواهینامه ها یکدیگر را احراز هویت می کنند. حفظ و اجرای گواهینامه های TLS چالش برانگیز است، بنابراین این روش به طور گسترده برای احراز هویت درخواست های API استفاده نمی شود.

احراز هویت JWT (JSON Web Token)

در این روش احراز هویت API، JSON Web Tokens برای احراز هویت و مجوز کلاینت های API استفاده می شود. هنگامی که یک سرویس گیرنده یک درخواست ورود به سیستم، از جمله نام کاربری، رمز عبور، یا هر نوع اعتبار ورود به سیستم دیگری ارسال می کند، API یک رمز وب JSON رمزگذاری شده ایجاد می کند و رمز را برای مشتری ارسال می کند.

سپس، مشتری از این توکن وب JSON در درخواست‌های API بعدی برای احراز هویت و تأیید اعتبار استفاده می‌کند.

OAuth2.0 با اتصال OpenID

OAuth خدمات مجوز ارائه می دهد و به کاربران امکان می دهد بدون اشتراک گذاری رمزهای عبور، احراز هویت خود را تأیید کنند. OAuth2.0 مبتنی بر مفهوم نشانه است و اغلب با مکانیزم احراز هویت OpenID Connect استفاده می شود. این روش احراز هویت و مجوز API معمولاً برای ایمن سازی API ها استفاده می شود.

2. کنترل دسترسی مبتنی بر نقش را اعمال کنید

کنترل دسترسی مبتنی بر نقش (RBAC) که از اصل امنیتی کمترین امتیاز استفاده می کند، سطح دسترسی به یک منبع را بر اساس نقش کاربر تعیین می کند.

اجرای کنترل دسترسی مبتنی بر نقش تضمین می کند که فقط کاربران مجاز می توانند بر اساس نقش خود به داده ها دسترسی داشته باشند. هیچ یک دسترسی نامحدود به تمام منابع API نخواهد داشت.

مطلب مرتبط:   شما می توانید Google را از ردیابی تلفن هوشمند خود متوقف کنید ، اما از نحوه متنفر بودن آن متنفر خواهید بود

3. تمام درخواست ها و پاسخ ها را رمزگذاری کنید

ترافیک API اغلب شامل اطلاعات حساسی مانند اعتبارنامه ها و داده ها است. اطمینان حاصل کنید که تمام ترافیک شبکه (به ویژه تمام درخواست ها و پاسخ های API ورودی) با استفاده از رمزگذاری SSL/TSL رمزگذاری شده است. رمزگذاری داده ها از افشای اعتبار کاربر یا هر نوع دیگر از داده های حساس توسط هکرها جلوگیری می کند.

4. از یک API Gateway استفاده کنید

اگر از دروازه API استفاده نمی کنید، باید کدی را در برنامه جاسازی کنید تا بتواند به برنامه بگوید چگونه تماس های API را مدیریت کند. اما این فرآیند به کار توسعه بیشتری نیاز دارد و ممکن است خطرات امنیتی API را افزایش دهد.

با استفاده از دروازه های API، شرکت ها می توانند تماس های API را از سیستم های خارجی از طریق یک دروازه مرکزی خارج از رابط برنامه نویسی برنامه مدیریت کنند.

علاوه بر این، دروازه‌های API مدیریت API را آسان‌تر می‌کنند، امنیت API را افزایش می‌دهند و مقیاس‌پذیری و در دسترس بودن را بهبود می‌بخشند.

دروازه های API محبوب شامل دروازه API آمازون، دروازه API Azure، دروازه API Oracle و دروازه Kong هستند.

5. اعمال محدودیت نرخ

محدودیت نرخ API به شما امکان می‌دهد برای درخواست‌های API یا تماس‌هایی که مشتری می‌تواند با API شما انجام دهد، محدودیتی تعیین کنید. اعمال محدودیت های نرخ API می تواند به شما در جلوگیری از حملات انکار سرویس توزیع شده (DDoS) کمک کند.

می‌توانید درخواست‌های API را در هر ثانیه، دقیقه، ساعت، روز یا ماه محدود کنید. و شما گزینه های مختلفی برای اجرای محدودیت های نرخ API دارید:

هنگامی که هارد استاپ را پیاده سازی می کنید، مشتریان شما با رسیدن به حد مجاز، خطای 429 را دریافت می کنند. در Soft Stop، مشتریان شما یک مهلت کوتاه برای برقراری تماس‌های API پس از پایان محدودیت نرخ API خواهند داشت. شما همچنین می توانید Throttled Stop را پیاده سازی کنید و به مشتریان خود اجازه دهید پس از اتمام محدودیت، درخواست های API را انجام دهند، اما با سرعت کمتر.

محدود کردن نرخ API تهدیدات امنیتی API را به حداقل می رساند و هزینه های پشتیبان را کاهش می دهد.

مطلب مرتبط:   1Password در مقابل LastPass: بهترین مدیر رمز عبور برای شما کدام است؟

6. قرار گرفتن در معرض داده ها را محدود کنید

باینری روی توپ سفید برای نشان دادن قرار گرفتن در معرض داده ها

مطمئن شوید که پاسخ‌ها به درخواست API داده‌های بیشتری از آنچه مرتبط یا ضروری است بر نمی‌گرداند. اگر تماس API برای یک کد پستی باشد، باید فقط کد پستی را ارائه کند، نه آدرس کامل را.

نمایش کمترین میزان ممکن در پاسخ‌های API زمان پاسخ را نیز بهبود می‌بخشد.

7. اعتبارسنجی پارامترها

درخواست های API به تعدادی پارامتر ورودی نیاز دارند. برای هر درخواست API، روال API شما باید حضور و محتوای هر پارامتر را تأیید کند. انجام این کار از یکپارچگی API شما محافظت می کند و از پردازش ورودی های مخرب یا بد شکل جلوگیری می کند.

شما هرگز نباید بررسی های اعتبارسنجی پارامتر را دور بزنید.

8. Tabs on API Activity را نگه دارید

برای نظارت و ثبت فعالیت های API برنامه ریزی کنید. این می تواند به شما کمک کند تا فعالیت های مشکوک عوامل تهدید را قبل از اینکه به سرور API یا کلاینت های API شما آسیبی وارد کنند، شناسایی کنید. شروع به ثبت همه تماس ها و پاسخ های API کنید.

ابزارهای مختلفی مانند Sematext، Dotcom-Monitor یا Checkly به شما کمک می‌کنند تا API خود را در زمان واقعی نظارت کنید.

9. به طور منظم امنیت API را بررسی کنید

تست امنیت API را تنها بخشی از فرآیند توسعه API نکنید. در عوض، امنیت API زنده خود را به طور مداوم بررسی کنید. انجام این کار به تیم امنیتی شما کمک می کند تا پیکربندی نادرست امنیتی و آسیب پذیری های API را که ممکن است تیم توسعه شما در مرحله اجرای API از دست داده باشد، شناسایی کند.

همچنین، تیم امنیتی شما باید یک طرح واکنش به حادثه ایجاد کند تا هر حادثه امنیتی API را مدیریت کند.

برای محافظت از داده های ارزشمند، ریسک های امنیتی API را مدیریت کنید

از آنجایی که سازمان ها به طور فزاینده ای API ها را در فرآیندهای تحول دیجیتال خود پیاده سازی می کنند، بازیگران تهدید دائماً به دنبال آسیب پذیری های API برای بهره برداری هستند. هنگامی که آنها به API شما دسترسی پیدا می کنند، می توانند داده های حساس را سرقت کنند. بنابراین باید امنیت API را افزایش دهید تا خطرات امنیتی API را به حداقل برسانید.

Tags: