AppSec 团队在保护其 API 资产免受攻击威胁时面临着广泛的挑战。在我们最近的网络研讨会中,演示了 Burp Suite 企业版中增强的 API 扫描功能,我们要求与会者描述他们最大的 API 安全痛点。
这些痛点来自各个部门和角色的应用安全和渗透测试专业人员。在本博客中,我们将分享这些挑战 – 以及您可以采取哪些措施来解决这些挑战。
AppSec 团队面临的最大 API 安全挑战是什么?
我们将挑战分为六个关键主题:
- 缺乏 API 攻击面的可见性。
- API 测试的自动化和扩展。
- 一致的流程和合规性。
- 知识和技能差距。
- 当前测试和工具的局限性。
- 执行测试的资源和时间。
让我们逐一讨论每个主题,并探讨提出的一些具体问题。
缺乏 API 攻击面的可见性
AppSec 专业人员面临着由于缺乏 API 可见性而带来的诸多痛苦 – 一个常见的挑战是 API 端点的可发现性。
其他人提到缺乏对他们拥有的 API 的全面了解(因此需要测试)——在尝试保护 API 免受各种不断变化的威胁时,这是一个真正令人担忧的问题。
您如何解决这些挑战?
- 对于缺乏 API 资产可见性的团队,Burp Suite 企业版可以检测 API 流量并作为标准扫描的一部分自动对其进行审核。
- Burp Suite 企业版还能够识别您可能托管的任何可供攻击者访问的 API。
- 这些功能应该有助于减少对 API 攻击面缺乏可见性的担忧。
API 测试的自动化和扩展
另一个主要挑战是自动化测试的能力,许多组织仍然依赖手动测试。这引发了人们对可扩展性的担忧——我们采访的 AppSec 专业人员中有 19.5% 已经管理着超过 500 个 API 的资产。
随着这个数字的持续增长,自动化对于 API 安全变得越来越重要。
您如何解决这些挑战?
- Burp Suite 企业版旨在自动执行扫描,让您可以方便地检查结果。
- 您可以选择特定于 API 的扫描来单独扫描您的 API,或者将它们作为常规扫描的一部分进行扫描。
- 这是通过提供现有 URL 或将 OpenAPI (OAS) 定义文件直接上传到 Burp Suite 企业版来完成的。
- 这些仅 API 扫描可以自动化,从而实现更快、可扩展的 API 扫描。
一致的流程和合规性
除了围绕 API 安全性的技术挑战之外,维护高效的流程以及所进行的更改的一致文档也成为一项重大挑战。
许多 AppSec 经理指出,他们的DevSecOps缺乏成熟度,导致工作效率低下。安全和开发团队之间的协作以及这对维护 API 的影响也存在挑战。
您如何解决这些挑战?
- CI 驱动的扫描支持为您的 SDLC 创建标准化程序,从而实现 API 开发和管理的一致性。
- Burp Suite 企业版还通过将开发管道中的结果流式传输到工具中,增强了开发人员和 AppSec 团队之间的协作。
- 最后,使用 Burp Suite Enterprise Edition 等 DAST 扫描器有助于确保遵守许多相关法规,例如 FedRAMP。
知识和技能差距
最大的主题之一是对组织内部技能和知识差距的担忧。许多人指出,他们在了解如何配置端点以及与新员工和跨项目团队共享知识方面面临挑战。
人们还担心团队中是否拥有合适的技能,以及跟上 API 安全性变化的频率。
您如何解决这些挑战?
- 虽然软件无法填补知识空白,但 Burp Suite 企业版为其发现的 API 漏洞提供了修复建议。
- 该平台还链接到学习材料和其他资源,帮助您的团队学习如何修复并手动检测这些漏洞。
- 使用自动扫描还可以帮助您的团队节省时间,将其重新投入到培训、技能提升和知识共享上。
当前测试和工具的局限性
除了团队内部的知识差距之外,一些 AppSec 经理还指出他们当前的测试和工具面临着许多限制。
这包括身份验证扫描、所使用的有效负载的质量以及无法深入测试 API 方面的挑战。
人们普遍认为,许多可用的工具不足以有效扫描 API 中的漏洞,API 参数的复杂性意味着大多数 DAST 工具无法模拟它们。
您如何解决这些挑战?
- 虽然 API 扫描功能在 Burp Suite 企业版中已经存在一段时间了,但您现在可以直接上传 OpenAPI 定义文件。
- 进一步的更新还将支持 SOAP API,从而增强扫描器处理更广泛定义的能力。
- 扫描独立 API 时,您可以为 Burp Suite 企业版提供对其自身进行身份验证所需的凭据,从而允许您自动扫描需要身份验证的 API。
执行测试的资源和时间
最后,许多 AppSec 和渗透测试团队都在努力争取时间和资源来执行有效保护其 API 所需的测试级别。这意味着测试缺乏细节,问题的修复速度很慢。
您如何解决这些挑战?
- 如上所述,自动化和安排 API 扫描可以帮助您节省时间。
- 以这种方式使用 Burp Suite 企业版可以帮助您抓住容易实现的目标,这意味着您的渗透测试人员可以将时间花在其他地方。
通过自动化、预定的 DAST 保护您的 API
这些关键痛点说明了 AppSec 团队面临的挑战 – 不仅是现在,而且是未来。当团队努力应对当前 API 资产的保护时,随着 API 资产的增长,扩展方面的挑战变得难以估量。
自动 DAST 扫描是减轻这一负担、短期节省时间并实现扩展所需的流程和成熟度的重要工具。