在表層,API 幫助公司連接應用程序並在它們之間共享數據。 這為客戶和用戶創造了更輕鬆、更無縫的體驗。 如果您曾使用 Google 帳戶登錄多個網站或應用程序,那麼您很可能正在使用 Google 開發的 API 來執行此操作。 像這樣的 API 在幕後工作,為許多被視為理所當然的簡化用戶體驗提供動力。 因此,我們需要在移動應用程序中確保更強的 API 安全性,否則它們的所有好處都將被浪費。
被盜的 API 密鑰是迄今為止一些最大的網絡攻擊的幕後黑手。 我們看到頭條新聞並閱讀新聞,但我們常常沒有意識到更廣泛的影響,尤其是對企業移動安全的顯著影響。 想想今年早些時候有 3,000 多個移動應用程序洩露 Twitter API 密鑰的新聞,這意味著不良行為者可能會破壞數千個個人帳戶並進行一系列邪惡活動。
想像一下,如果這是您的業務,角色互換,成百上千個移動應用程序將 API 密鑰洩露給您的公司 Gmail、Slack 或 OneDrive 帳戶。 如果發生這種情況或類似情況,員工設備和敏感的公司數據將面臨極大風險。
最近對 API 安全的關注正值越來越多的企業依賴企業移動性的關鍵時刻,這意味著對移動應用程序連接的依賴程度越來越高。 最近對美國和英國的安全經理和移動應用程序開發人員進行的一項調查發現,74% 的受訪者認為移動應用程序對業務成功至關重要。 此外,還發現移動應用程序可以幫助企業創收並使客戶能夠訪問服務。
此外,在同一項調查中,45% 的受訪者表示,使移動應用程序離線的 API 攻擊將對其業務產生重大影響。 這些結果僅證實了我們已知的事實:移動應用程序對於企業移動性和生產力至關重要。
API 安全風險可能導致設備完全接管
雖然 API 有很多優點,但它們在移動應用程序中的普遍使用也是一個明顯的缺點。 考慮到許多企業都依賴第三方應用程序和 API,這一點尤其正確。 如果您認為這些第三方與您和您的企業有相同的安全問題和程序,請三思。 第三方往往是數據洩露的罪魁禍首,最近第三方黑客攻擊導致澳大利亞最大的電信公司遭受嚴重的數據洩露就是證明——量化的影響成本仍在持續。
讓企業的事情變得更加困難的是,移動應用程序——尤其是為它們提供支持的 API——通常比計算機上的網頁更容易受到網絡攻擊。 每當使用應用程序時,即使它在後台運行,它也會通過調用發送和接收數據,這是您的設備最容易受到攻擊的時候。
惡意行為者可以利用這些 API 調用或從設備到應用程序的請求來竊取數據。 由於應用程序存在於設備本身,惡意行為者有可能劫持整個設備,使存儲在設備上的信息面臨巨大風險。 無論設備是公司所有還是個人 (BYOD),我可以保證員工可以訪問的每台設備上都可能存儲某種形式的公司數據。
保護移動設備和企業數據免受 API 漏洞的侵害
這些易受攻擊的 API 不僅威脅到公司的利潤、聲譽和生存能力,而且還威脅到公司及其客戶和合作夥伴的敏感數據。
幸運的是,有一些方法可以抵禦這些威脅。 首先,著重於對企業應用程序面臨的威脅達成共識,這對於升級很重要。 這將提高人們對員工手機上的企業移動應用程序的認識,這些應用程序會打開企業數據以進行滲漏——除非這些應用程序受到管理或明確分開。
為更好地防止易受攻擊的 API 而採取的一大步是製定一種將數據與設備本身分開的策略。 這個過程被稱為容器化。 利用高級加密功能並確保數據在傳輸、傳輸和靜止時的安全是另一個關鍵因素。 我建議使用 AES 265 位加密。
此外,組織應該考慮採用更強大的身份驗證流程來保護敏感數據。
結論
希望利用 API 漏洞的威脅參與者面臨許多挑戰,隨著 API 的攻擊面不斷擴大,這些挑戰只會增加。 雖然這些擔憂乍一看可能令人望而生畏,但企業可以採取積極措施來保護其企業應用程序和設備。
將額外的安全性納入開發過程是重要的一步,但有時依賴第三方應用程序的公司無法負擔或理解這是一種奢侈。 這就是為什麼企業必須從戰略上考慮這些應用程序如何與公司數據交互,並創建額外的身份驗證步驟來保護它。
Leave a Comment