在保護(hù) API 資產(chǎn)免受攻擊威脅時(shí)，AppSec 團(tuán)隊(duì)面臨著各種各樣的挑戰(zhàn)。在最近的網(wǎng)絡(luò)研討會(huì)上，Burp Suite 展示列企業(yè)版中增強(qiáng)的 API 掃描功能，并要求與會(huì)者描述他們最大的 API 安全痛點(diǎn)。

這些痛點(diǎn)來(lái)自各個(gè)行業(yè)和角色的AppSec 和滲透測(cè)試專業(yè)人士。在本博客中，我們將分享這些挑戰(zhàn) - 以及您可以采取哪些措施來(lái)解決它們。

Burp Suite 是一款領(lǐng)先的Web應(yīng)用程序安全測(cè)試工具。它被廣泛用于識(shí)別和修復(fù)Web應(yīng)用程序中的漏洞。

Burp Suite 最新版下載

AppSec 團(tuán)隊(duì)面臨的最大 API 安全挑戰(zhàn)是什么？

缺乏對(duì) API 攻擊面的可見(jiàn)性

AppSec 專業(yè)人員因缺乏 API 可見(jiàn)性而面臨諸多痛苦 - 其中一個(gè)常見(jiàn)的挑戰(zhàn)是 API 端點(diǎn)的可發(fā)現(xiàn)性。

缺乏對(duì)他們擁有的 API 的全面了解（因此需要測(cè)試）——當(dāng)試圖保護(hù) API 免受各種不斷變化的威脅時(shí)，無(wú)法做到精準(zhǔn)預(yù)見(jiàn)。

如何解決這些挑戰(zhàn)？

• 對(duì)于缺乏 API 資產(chǎn)可見(jiàn)性的團(tuán)隊(duì)，Burp Suite 企業(yè)版可以檢測(cè) API 流量并作為標(biāo)準(zhǔn)掃描的一部分自動(dòng)審核它。
• Burp Suite 企業(yè)版還能夠識(shí)別您可能托管的任何可供攻擊者訪問(wèn)的 API。
• 這些功能有助于減少對(duì) API 攻擊面缺乏可見(jiàn)性的擔(dān)憂。

API 測(cè)試的自動(dòng)化和擴(kuò)展

另一個(gè)重大挑戰(zhàn)是自動(dòng)化測(cè)試的能力，因?yàn)樵S多組織仍然依賴手動(dòng)測(cè)試。這引發(fā)了對(duì)可擴(kuò)展性的擔(dān)憂——19.5% 的 AppSec 專業(yè)人士已經(jīng)管理著超過(guò) 500 個(gè) API 的資產(chǎn)。

隨著這個(gè)數(shù)字不斷增長(zhǎng)，自動(dòng)化在 API 安全中變得越來(lái)越重要。

如何解決這些挑戰(zhàn)？

• Burp Suite 企業(yè)版旨在自動(dòng)化您的掃描，讓您可以隨時(shí)檢查結(jié)果。
• 您可以選擇特定于 API 的掃描來(lái)自行掃描您的 API，或者將其作為常規(guī)掃描的一部分進(jìn)行掃描。
• 這是通過(guò)提供現(xiàn)有 URL 或?qū)?OpenAPI（OAS）定義文件直接上傳到 Burp Suite Enterprise Edition 來(lái)完成的。
• 這些僅針對(duì) API 的掃描可以自動(dòng)化，從而實(shí)現(xiàn)更快、可擴(kuò)展的 API 掃描。

一致的流程和合規(guī)性

除了 API 安全性方面的技術(shù)挑戰(zhàn)之外，維護(hù)高效的流程以及對(duì)所做更改的一致記錄也成為一個(gè)重大挑戰(zhàn)。

許多 AppSec 經(jīng)理指出，他們的DevSecOps不夠成熟，導(dǎo)致工作效率低下。此外，安全團(tuán)隊(duì)和開(kāi)發(fā)團(tuán)隊(duì)之間的協(xié)作也存在挑戰(zhàn)，這對(duì)維護(hù) API 產(chǎn)生了影響。

如何解決這些挑戰(zhàn)？

• CI 驅(qū)動(dòng)的掃描可以為您的 SDLC 創(chuàng)建標(biāo)準(zhǔn)化程序，從而實(shí)現(xiàn) API 開(kāi)發(fā)和管理的一致性。
• Burp Suite 企業(yè)版還通過(guò)將開(kāi)發(fā)流程的結(jié)果傳輸?shù)焦ぞ咧衼?lái)增強(qiáng)開(kāi)發(fā)人員和 AppSec 團(tuán)隊(duì)之間的協(xié)作。
• 最后，使用 Burp Suite Enterprise Edition 等 DAST 掃描器有助于確保遵守許多相關(guān)法規(guī)，例如 FedRAMP。

知識(shí)和技能差距

最大的主題之一是對(duì)組織內(nèi)部技能和知識(shí)差距的擔(dān)憂。許多人指出，他們?cè)诹私馊绾闻渲枚它c(diǎn)以及與新員工和項(xiàng)目團(tuán)隊(duì)共享知識(shí)方面面臨挑戰(zhàn)。

他們還擔(dān)心團(tuán)隊(duì)是否擁有合適的技能，以及如何跟上 API 安全變化的頻率。

如何解決這些挑戰(zhàn)？

• 雖然軟件無(wú)法填補(bǔ)知識(shí)空白，但 Burp Suite 企業(yè)版為其發(fā)現(xiàn)的 API 漏洞提供了補(bǔ)救建議。
• 該平臺(tái)還鏈接到學(xué)習(xí)材料和其他資源，幫助您的團(tuán)隊(duì)學(xué)習(xí)如何修復(fù)和手動(dòng)檢測(cè)這些漏洞。
• 利用自動(dòng)掃描還可以幫助您的團(tuán)隊(duì)節(jié)省時(shí)間，這些時(shí)間可以重新投入到培訓(xùn)、技能提升和知識(shí)共享中。

當(dāng)前測(cè)試和工具的局限性

除了團(tuán)隊(duì)內(nèi)部的知識(shí)差距之外，一些 AppSec 經(jīng)理還指出了他們當(dāng)前的測(cè)試和工具面臨的許多限制。

這包括經(jīng)過(guò)身份驗(yàn)證的掃描的挑戰(zhàn)、所使用的有效載荷的質(zhì)量以及無(wú)法深入測(cè)試 API。

人們普遍認(rèn)為，許多可用的工具不足以有效地掃描 API 中是否存在漏洞，因?yàn)?API 參數(shù)的復(fù)雜性意味著大多數(shù) DAST 工具無(wú)法模擬它們。

如何解決這些挑戰(zhàn)？

• 雖然 API 掃描功能已經(jīng)在 Burp Suite 企業(yè)版中存在一段時(shí)間了，但您現(xiàn)在可以直接上傳 OpenAPI 定義文件。
• 進(jìn)一步的更新將允許支持 SOAP API，從而增強(qiáng)掃描儀處理更廣泛定義的能力。
• 掃描獨(dú)立 API 時(shí)，您可以向 Burp Suite Enterprise Edition 提供驗(yàn)證自身所需的憑據(jù)，從而允許您自動(dòng)掃描需要驗(yàn)證的 API。

進(jìn)行測(cè)試的資源和時(shí)間

最后，許多 AppSec 和滲透測(cè)試團(tuán)隊(duì)都面臨著時(shí)間和資源不足的問(wèn)題，無(wú)法進(jìn)行有效保護(hù) API 所需的測(cè)試。這意味著測(cè)試缺乏細(xì)節(jié)，問(wèn)題補(bǔ)救速度緩慢。

如何解決這些挑戰(zhàn)？

• 如上所述，自動(dòng)化和安排 API 掃描可以幫助您節(jié)省時(shí)間。
• 以這種方式使用 Burp Suite 企業(yè)版可以幫助您獲得容易實(shí)現(xiàn)的目標(biāo)，這意味著您的滲透測(cè)試人員可以將時(shí)間花在其他地方。

這些關(guān)鍵痛點(diǎn)說(shuō)明了 AppSec 團(tuán)隊(duì)面臨的挑戰(zhàn) - 不僅是現(xiàn)在，也是未來(lái)。當(dāng)團(tuán)隊(duì)努力應(yīng)對(duì)保護(hù)當(dāng)前 API 資產(chǎn)時(shí)，隨著規(guī)模的增長(zhǎng)，擴(kuò)展方面的挑戰(zhàn)將變得難以想象。

自動(dòng)化 DAST 掃描是減輕這一負(fù)擔(dān)、節(jié)省短期時(shí)間并實(shí)現(xiàn)擴(kuò)展所需的流程和成熟度的重要工具。

如果您有任何問(wèn)題需了解詳情，請(qǐng)聯(lián)系