然后要注意的是标准漏洞集 。2019年发布的OWASP API Top 10威胁在过去两年中没有发生变化,这说明我们正在重复遭遇同样的问题 。
最后,由于缺乏足够的人员手动监视API安全,因此组织需要研究工具、自动化、扫描技术和遥测监视,以确定API的调用方式,并寻找出可能表明恶意滥用的异常行为 。
仓储物流企业获得API安全可见性开发人员启动Web服务和设置API变得比以往任何时候都更加容易 。不过,与任何其他新技术一样,安全性也经常滞后 。
尽管开发人员都在使用新的安全控制,但仍然可能存在老旧的系统 。这些过时的僵尸API带来了巨大的安全风险,此外,那些原计划只做短期使用却未及时退役的API也会带来很大的风险 。
仓储物流公司Prologis的安全主管Tyler Warren表示,我们无法保护自己并不知道的东西!我们必须清楚地知道自己拥有什么才能保护它,这是头等大事 。
如今,Prologis已在全球19个国家/地区拥有近10亿平方英尺的面积,约5,000个仓库 。当人们听到Prologis是一家仓库公司时,往往会质疑“你们怎么可能正在研发高科技?”但是,Prologis高管层清楚地明白,技术是业务的推动者,而不是成本中心 。所以,早在4年前,该公司就开始开发面向客户的系统 。
现在,有了基于云的Prologis Essentials平台,客户可以随时提交服务票证或检查票证的状态,更重要的是,当有人搬进新仓库时,可以与提供虫害控制、叉车、照明以及其他所需产品和服务的本地供应商联系 。
Warren介绍称,Prologis Essentials几乎完全是无服务器的,主要依赖Amazon和lambda函数,所以无需处理任何的遗留系统问题 。该平台使用AWS API网关,并且有约15个API服务于500个端点,其中包括内部连接以及与外部业务合作伙伴的集成 。上个月,该系统处理了529,000个API请求 。
但是Warren发现,AWS并未提供有关API可视化的大量信息 。为了解决这一问题,Warren团队尝试了很多方法,但都不如人意 。他们致力于寻找一种易于部署且不会妨碍开发团队的技术 。最终,Prologis选择了Salt Security解决方案 。
他们原本计划2021年再将Essentials系统集成到Salt Security中,但是最终还是将计划提前了 。原因在于API攻击面正在吸引越来越多的关注,恶意行为者也发现了很多攻击面,他们没有时间去冒险 。
最终,将Essentials系统集成到Salt Security的工作花费了大约一个月的时间,因为许多方面都必须经过不断地测试,并确保开发人员对结果满意且保证不影响性能 。
该工具位于AWS环境中,并在API网关处侦听流量、获取日志和元数据,并将报告发送到Salt的SaaS仪表板以进行警报和报告,这使得Prologis获得了很好的API安全可见性 。
该系统已于去年秋天启动并运行 。它可以连接到WAF并自动触发动作,可以发送报告供安全人员手动查看,还可以查找潜在的PII泄漏 。此外,该系统还捕获到了一些情况,例如API提供了许多并非必要的信息,这一点是许多企业在使用API时必须注意的问题 。记住,如非必要,那就不要做!
推荐阅读
![[嘶吼RoarTalk]再次发生!万豪酒店数据泄露520万客户的记录](https://imgcdn.toutiaoyule.com/20200403/20200403141308727854a_t.jpeg)
![[娱乐从珊]俄罗斯不是第二,中国排在第几?,日本公布军事实力排名](https://imgcdn.toutiaoyule.com/20200413/20200413150312377813a_t.jpeg)
- 面粉洗葡萄有科学依据吗 面粉洗葡萄原理
- 完善的 API 的 4 个基本特征
- 网工必备知识交换机基本原理与配置-华为版
- 实用-API接口设计
- CSRF、XSS攻防原理及解决方案
- 抛开原理,今天我只讲Docker容器与镜像的区别
- 保护好你的交易平台api接口,不然这样的下场就是你要面对的
- 通过十个问题助你彻底理解linux epoll工作原理
- ARP断网攻击与监听演示
- 服务器为什么会被攻击?黑客发动网络攻击要花多少钱