确保第三方 API 安全的 5 个最佳实践

应用程序编程接口 （API） 已成为设置功能和灵活性不可或缺的一部分。但它们也是潜在的攻击媒介，需要在安全团队的雷达上占据很高的位置。

当组织考虑应用程序编程接口 （API） 安全性时，他们通常专注于保护内部编写的 API。但是，并非所有公司使用的 API 都是内部开发的，而是由其他组织设计和开发的。问题在于，许多公司没有意识到使用第三方 API 可能会使其应用程序面临安全问题，例如恶意软件、数据泄露和未经授权的访问。

第三方 API 是软件接口，允许组织在其自己的网站或应用程序上利用第三方功能或数据。这些第三方API使开发人员能够将其应用程序或系统与外部服务，数据或功能集成，技术研究和咨询公司ISG的网络安全总监Phil Quitugua说。

一些流行的第三方 API 包括导航应用程序、社交媒体平台和数字支付处理工具。“这些是第三方（例如Google或Facebook）提供的API，允许您在自己的网站或应用程序上访问其数据或功能，”DataDome产品副总裁Paul Scanlon说。“每个人都喜欢 API。通过使各种设备和应用程序能够通过各种通信协议交换信息，API 可帮助开发人员更轻松、更高效地创建出色的用户体验。

但是，在 API 的普遍性和普及性中，有一个安全问题——根据 Salt Security 的 94 年 API 安全状况报告，大约 17% 的公司在过去一年中在生产 API 中遇到了安全问题，1% 的公司遭受了与 API 相关的漏洞。因此，需要为第三方 API 实现安全性。

为什么确保第三方应用程序的安全性如此重要

第三方API需要强大的安全性，因为它们可能是弱点，NCC集团工业和运营技术实践总监Jim McKenney说。如果它们不安全，它们可能会泄露敏感数据或导致原始软件出现问题。

“API安全保护程序之间的通信，如OpenStreetMap的API，免受网络威胁，”McKenney说。“它可以抵御恶意攻击、未经授权的访问以及 API 滥用等新出现的威胁。API 安全性可确保应用程序之间的安全、真实的对话。

第三方API安全涉及实施身份验证、授权、加密和监控等措施，以确保API及其数据的隐私性、完整性和可用性，凯捷旗下Sogeti洞察和数据副总裁Doug Ross表示。“API安全性是软件开发的一个关键方面，因为API通常充当不同系统之间的桥梁，并且越来越多地用于交换敏感和关键信息，”Ross说。

出于多种原因，确保第三方 API 的安全性至关重要。首先，API 可以访问敏感信息，例如用户数据或付款信息。因此，如果第三方 API 遭到入侵，可能会导致数据泄露，从而影响最终用户和依赖 API 的企业。此外，不安全的 API 可能会使应用程序或系统面临漏洞和攻击，从而导致系统故障或对资源的不当访问。

第三方 API 的安全性在维护合规性方面也很重要，因为许多行业对数据保护和隐私有严格的规定，例如欧盟的《通用数据保护条例》（GDPR） 和美国健康保险流通与责任法案。 确保第三方 API 的安全性有助于组织遵守这些法规并避免受到监督机构的处罚， 罗斯说。

涉及第三方API的安全漏洞可能会损害公司的声誉，导致客户信任的丧失，并可能影响业务合作伙伴关系。

以下是确保第三方 API 安全性的五种最佳实践：

维护包含第三方 API 的 API 清单

维护一个随着代码更改而自动更新的API清单是API安全计划的重要第一步，Bionic的安全研究员Jacob Garrison说。这是 API 安全计划的重要第一步;它应区分第一方和第三方 API。它鼓励持续监控影子 IT — 无需通知安全团队即可引入 API。

“为了确保你的库存是强大和可操作的，你应该跟踪哪些API传输了关键业务信息，比如个人身份信息和支付卡数据，”他说。根据Garrison的说法，API清单是对第三方风险管理的补充。当开发人员使用第三方 API 时，值得考虑对供应商本身进行风险评估。

“例如，假设您的数据工程团队希望将个人身份数据发送到 Tableau 进行分析，”他说。“在这种情况下，值得评估该供应商的安全状况是否在组织的风险承受能力范围内。

Invicti Security首席技术兼安全研究主管Frank Catucci同意，包括第三方API清单至关重要。

“你需要让第三方API成为你整体API清单的一部分，你必须将它们视为你拥有的资产，你有责任，”他说。“因此，确保准确计算哪些API在何处运行以及它们正在做什么是重要的第一步，因为您无法保护您不知道的内容。

调查第三方 API 供应商

McKenney表示，组织应该选择具有强大安全措施的信誉良好的提供商，监控API活动的可疑行为，并使用加密。例如，仅使用来自受信任提供商的付款处理 API，定期监控 API 日志中是否存在任何异常活动，并确保通过 API 发送的所有敏感数据都已加密。

对于第三方，建立供应商安全管理流程非常重要，Lexmark 首席信息安全官 Bryan Willett 说。“这个过程应该与你的采购流程紧密结合，这样所有的供应商和合同都要经历这个过程，”他说。“该流程应包括几个子流程，包括供应商风险评估、供应商安全评分、持续监控以及合同审查，以确保条款符合组织的风险承受能力。

确保第三方 API 的供应商安全测试

Willett说，重要的是，公司要建立供应商的一般安全控制以及第三方API生命周期不同阶段的安全控制，以确保适当的保护措施满足其风险承受能力。

“例如，您希望看到安全开发生命周期根植于组织文化中，从培训到整个交付过程的大门，以确保从一开始就考虑安全性，”他说。根据Willett的说法，这些门应该包括解决供应商开发的源代码和产品中包含的开源库所产生的风险的实践。

“你希望看到[供应商]有良好的安全测试实践，使用最新的工具来执行静态代码分析，模糊测试和漏洞扫描，”Willett说。“在运营领域，您希望看到强大的变更管理流程的证据，该流程对数据进行适当的访问控制并实施零信任原则。

供应商还应该有成熟的漏洞管理程序来监控补丁的操作环境，并为何时修补漏洞制定明确的服务级别协议。

自行测试第三方 API

尽管组织没有编写第三方API，也不控制它们，但Catucci表示，他们仍然可以像测试自己的API一样测试它们。例如，公司可以使用动态应用程序安全测试功能来扫描第三方 API，以查找这些 API 中可能存在的已知漏洞、易受攻击的组件或过时的组件。

“即使你不拥有它们，你仍然需要测试它们，”他说。“如果您发现第三方 API 存在特定漏洞，您可能希望阻止该功能或在修复之前不使用该 API。

轮换 API 密钥

另一个安全考虑因素是API密钥的轮换，Willett说。当用户调用第三方 API 时，他们必须在请求中提供唯一的字符串，称为密钥。此字符串告诉供应商哪个客户正在进行呼叫。出于两个主要原因，定期轮换密钥是必要的。

“首先，不良行为者拦截您的API密钥，然后他们可以代表您生成请求。根据第三方使用的安全协议，此密钥可能足以提取与您的帐户相关的敏感信息，“Willett说。“其次，第三方API需要花钱。API 密钥用于计费目的。恶意参与者可以使用您的密钥快速触发 API 请求，从而增加您的账单。出于这两个原因，API 安全程序应包括定期密钥轮换。

底线：不要让 API 不受保护

基于 API 的攻击非常复杂，需要同样强大的防御。更重要的是，第三方违规行为现在比以往任何时候都更加突出，ThreatX安全战略总监兼现场首席信息安全官Jeremy Ventura说。

“许多备受瞩目的安全漏洞，如Peloton和日产，都是由未受保护的API造成的，”他说。“攻击组织的供应链对于希望踏入网络大门的网络犯罪分子来说非常有吸引力。

因此，对于公司来说，了解第三方API安全威胁不仅仅是一个IT问题，而且是一个影响所有相关组织和客户的核心业务问题，Ventura补充道，这一点至关重要。