人工智能的安全API如何使用

人工智能的安全API如何使用

虽然这种访问对于企业的员工、合作伙伴、客户来说非常宝贵，但它也使API成为黑客和僵尸网络具有吸引力的目标。随着越来越多的攻击和API漏洞的增加，扩展安全性变得越来越重要。

现有的解决方案（例如访问控制、速率限制等）提供基本的保护，但不足以完全阻止黑客的网络攻击。如今的安全团队需要识别并响应动态变化的攻击，这些攻击旨在利用单个API的独特漏洞。企业可以采用人工智能来检测API和未暴露数据的异常行为，自动阻止对整个API基础设施的攻击，设计自学习解决方案是安全的未来。这种方法为IT基础设施提供了深入的可视性，并使安全团队能够在识别恶意行为时立即采取行动。

API数据泄露

这些漏洞导致了不同程度的数据泄露行为，其中包括账户接管、私人信息和照片被盗，以及信用卡号码被他人提取。在此次数据泄露事件之后，LandMark White公司的声誉受到严重影响，而其很多客户和银行合作伙伴退出，并争相与其他厂商合作。

数据泄露事件通常需要数周或数月才能检测到，其他类似的违规行为几乎需要一年时间才能完全解决。还有许多公司现在面临这种情况。要了解如何防范这些威胁，人们必须首先了解API所带来的潜在漏洞。

API漏洞

不完整和遗漏的验证

缺少权利检查是最近一系列API违规中频繁出现的漏洞模式。这些缺失的权利检查会在生产API中暴露漏洞。在某些情况下，完全缺乏访问控制已经使API完全开放，使得具有基本技能的不良行为者可以进行恶意攻击。

利用此类漏洞可以极大地破坏服务。如果传入的JSON补丁包含10，000多个操作，则Kubernetes API服务器修复包括返回413类型的错误。这种类型的内容验证很容易在API网关中配置，但它经常被遗漏，因为这样做需要超越自动生成的JSON模式，这些模式只定义简单的规则类型，需要人工干预才能识别特定验证的需要，并确保正确的配置和测试。

扩散和缺乏可见性

API的扩散只会增加其漏洞。API的部署速度比以往任何时候都要快，而且由许多不同的团队负责。在某些情况下，持续不断的创新、减少摩擦、创造新收入流的压力会导致开放API可能产生意外的影响。

因此，许多利益相关者报告其组织部署的所有API缺乏可见性，这并不奇怪。事实上，许多API相关的漏洞在几个月有时是几年之后才被发现，这进一步说明了对整体API流量缺乏可见性。

此外，一些API并不是公开的，可能只被视为总体项目的实施细节。这使他们从安全从业者的角度隐藏起来，进而导致缺乏具体的安全考虑。在其他情况下，来自组织不同部分的API可能会利用异构平台和不一致的安全策略。

无论如何，这些API可能与公共API一样容易受到攻击，因为它们同样容易被黑客通过反向工程进行攻击。为弥补这些差距，人们需要清楚地了解需要保护的内容。而对API流量的深入洞察将为改善网络弹性提供基础。

超越令牌验证的思考

验证令牌并验证请求用户的身份通常不足以支持API基础设施。在API层应用粒度访问控制的能力不仅符合逻辑，而且随着API成为访问开发人员需要管理的数据的最常用渠道，它将成为常态。

此外，定义应允许个人请求哪些数据的规则，不仅由API提供商定义，还由最终用户定义。例如，在OAuth握手期间，将会要求最终用户认可。这些决策允许用户在涉及他们拥有的数据时限制应用程序代表他们行事的方式。因此，用户认可的管理与核心API安全性概念紧密相关。

基础API安全准备的核心是审查和治理流程的定义，它们将所有这些概念结合在一起。新的API或更新的API必须经过审核，首先要确定问题的答案，其中包括：

•访问API需要哪些权限？

•预期的请求者是谁？

•此API与之交互的其他服务是什么？

•输入和输出参数是什么样的，应该如何限制它们？

这些问题的答案将告知哪些安全策略应该适用于正在发布的新API。

扩展基础API安全性

即使有正确的基础，安全性也只能与其配置一样强大。当配置受到人为错误的影响时，随着API层复杂性的增加，API漏洞通过测试并进入生产的风险也随之增加。即使企业已采取一切措施来防止数据泄露，仍然可能面临在API本身之外的不同向量暴露漏洞的风险。

例如，北卡罗来纳州立大学的一项研究表明，GitHub是一个用于调用API的应用程序机密宝库。该研究得出结论，如今已有10万多个存储库泄漏了API令牌和加密密钥。GitHub通过实施新的安全功能从提交到其平台的代码中扫描令牌来实现这一发现。

未检测到的漏洞

在这些场景中，攻击者通过利用用户、客户端应用程序或授权服务器上的漏洞（而不是API本身）获取令牌。这带来了许多问题，因为这些令牌似乎是合法的，黑客像一个有效的用户。即使企业采用了适当的访问控制策略，除了涉及到API本身的漏洞之外，这些攻击通常会在数月甚至数年的时间内也不会被传统的API安全工具检测到。

将人工智能应用于安全

采用人工智能检测非典型行为

每个API调用、访问令牌或cookie的元数据以及某些操作的时间和顺序都可以提供给AI模型。在运行时，此机器学习引擎利用行为模型来识别潜在威胁，例如特定令牌或cookie是否在合法应用程序之外使用，数据是否被泄露或更改等。

利用基于人工智能的异常使用检测显著加快了威胁可见性，将攻击发现的时间从几个月减少到几分钟或几秒钟。一旦检测到可疑的API活动，用于获取API访问权限的访问令牌或cookie将被列入黑名单或吊销，立即停止所有API端点上使用该令牌的任何一方的访问。如果这些攻击背后隐藏着相同的用户身份，那么必须将用户身份本身列入黑名单并相应地进行标记。这种类型的监视、攻击检测和阻塞是在不需要操作人员采用自定义规则的情况下实现的。

使用API诱饵

API诱饵的使用也可以加速API黑客攻击的检测。这涉及添加伪造的API资源，这些资源会向请求者返回看似有效的响应。诱饵利用黑客倾向于以合法应用程序不具备的方式进行搜索，有效地利用围绕典型黑客行为的知识。

当黑客陷入这些陷阱时，他们会立即被识别出来。同时，他们的相关IP地址和访问令牌（如果他们当时拥有它们）会自动被视为泄露，并列入黑名单。诱饵侦听器能够识别出这些请求不可能从真正的应用程序传入，因为这些API资源并不是合法存在。这些安全措施不需要自定义规则或扩展配置。

阻止和修复

当然，检测只是解决方案的一部分。安全系统如何反应同样重要。一旦客户机标识符（如用户或令牌）被泄露，该标识符必须立即被撤销或列入黑名单。这些信息需要在所有API强制点、API网关和代理之间广泛传播。此外，必须记录这些事件以供后续审计，并且必须通知安全信息和事件管理（SIEM）系统以启动任何标准响应过程。

企业应该记录在检测和阻止泄露的凭证之前调用的方法和资源的详细信息。取证报告形式的信息允许API提供者、DevOps团队或安全团队采取必要的措施来修复或反向工程攻击造成的损坏。还可利用取证来帮助遵守GDPR、PSD2和开放式银行等法规。

保护API

PingAccess

PingAccess控制对企业内部和面向公众的API的访问。它作为反向代理部署在受保护网络的边界，或作为与API端点一起运行的代理部署。PingAccess支持精细的API访问控制，将用户限制为访问令牌中包含的授权范围所允许的API事务。

PingDataGovernance

PingDataGovernance通过启用评估API请求和响应主体的策略，对API和通过API流出的数据实施细粒度授权。在API请求中，细粒度授权策略可以限制用户在授权的API调用中可以做什么（例如，如果他们授权超过特定限制的支付，修改大量数据条目等）。在API响应中，PingDataGovernance根据未经授权、非预期、敏感或受限制数据的策略和同意记录检查出站数据，这些数据应在发布到客户端之前动态修改或从响应中删除。

结论

API安全性是数字化转型计划的重要组成部分，可以提高跨渠道的网络弹性。

在零信任时代，采用以身份为中心的API安全基础设施是现代数字化转型战略的核心。为了确保API的安全性，企业需要深入了解API活动和AI驱动的漏洞检测。两者都需要在基本的API访问控制上进行分层，以捕获源自API漏洞的攻击，并在传统API安全系统的配置中修复人为错误的风险。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。