在保護 API 資產(chǎn)免受攻擊威脅時，AppSec 團隊面臨著各種各樣的挑戰(zhàn)。在最近的網(wǎng)絡(luò)研討會上，Burp Suite 展示列企業(yè)版中增強的 API 掃描功能，并要求與會者描述他們最大的 API 安全痛點。

這些痛點來自各個行業(yè)和角色的AppSec 和滲透測試專業(yè)人士。在本博客中，我們將分享這些挑戰(zhàn) - 以及您可以采取哪些措施來解決它們。

Burp Suite 是一款領(lǐng)先的Web應(yīng)用程序安全測試工具。它被廣泛用于識別和修復(fù)Web應(yīng)用程序中的漏洞。

Burp Suite 最新版下載

AppSec 團隊面臨的最大 API 安全挑戰(zhàn)是什么？

缺乏對 API 攻擊面的可見性

AppSec 專業(yè)人員因缺乏 API 可見性而面臨諸多痛苦 - 其中一個常見的挑戰(zhàn)是 API 端點的可發(fā)現(xiàn)性。

缺乏對他們擁有的 API 的全面了解（因此需要測試）——當試圖保護 API 免受各種不斷變化的威脅時，無法做到精準預(yù)見。

如何解決這些挑戰(zhàn)？

• 對于缺乏 API 資產(chǎn)可見性的團隊，Burp Suite 企業(yè)版可以檢測 API 流量并作為標準掃描的一部分自動審核它。
• Burp Suite 企業(yè)版還能夠識別您可能托管的任何可供攻擊者訪問的 API。
• 這些功能有助于減少對 API 攻擊面缺乏可見性的擔憂。

API 測試的自動化和擴展

另一個重大挑戰(zhàn)是自動化測試的能力，因為許多組織仍然依賴手動測試。這引發(fā)了對可擴展性的擔憂——19.5% 的 AppSec 專業(yè)人士已經(jīng)管理著超過 500 個 API 的資產(chǎn)。

隨著這個數(shù)字不斷增長，自動化在 API 安全中變得越來越重要。

如何解決這些挑戰(zhàn)？

• Burp Suite 企業(yè)版旨在自動化您的掃描，讓您可以隨時檢查結(jié)果。
• 您可以選擇特定于 API 的掃描來自行掃描您的 API，或者將其作為常規(guī)掃描的一部分進行掃描。
• 這是通過提供現(xiàn)有 URL 或?qū)?OpenAPI（OAS）定義文件直接上傳到 Burp Suite Enterprise Edition 來完成的。
• 這些僅針對 API 的掃描可以自動化，從而實現(xiàn)更快、可擴展的 API 掃描。

一致的流程和合規(guī)性

除了 API 安全性方面的技術(shù)挑戰(zhàn)之外，維護高效的流程以及對所做更改的一致記錄也成為一個重大挑戰(zhàn)。

許多 AppSec 經(jīng)理指出，他們的DevSecOps不夠成熟，導(dǎo)致工作效率低下。此外，安全團隊和開發(fā)團隊之間的協(xié)作也存在挑戰(zhàn)，這對維護 API 產(chǎn)生了影響。

如何解決這些挑戰(zhàn)？

• CI 驅(qū)動的掃描可以為您的 SDLC 創(chuàng)建標準化程序，從而實現(xiàn) API 開發(fā)和管理的一致性。
• Burp Suite 企業(yè)版還通過將開發(fā)流程的結(jié)果傳輸?shù)焦ぞ咧衼碓鰪婇_發(fā)人員和 AppSec 團隊之間的協(xié)作。
• 最后，使用 Burp Suite Enterprise Edition 等 DAST 掃描器有助于確保遵守許多相關(guān)法規(guī)，例如 FedRAMP。

知識和技能差距

最大的主題之一是對組織內(nèi)部技能和知識差距的擔憂。許多人指出，他們在了解如何配置端點以及與新員工和項目團隊共享知識方面面臨挑戰(zhàn)。

他們還擔心團隊是否擁有合適的技能，以及如何跟上 API 安全變化的頻率。

如何解決這些挑戰(zhàn)？

• 雖然軟件無法填補知識空白，但 Burp Suite 企業(yè)版為其發(fā)現(xiàn)的 API 漏洞提供了補救建議。
• 該平臺還鏈接到學(xué)習(xí)材料和其他資源，幫助您的團隊學(xué)習(xí)如何修復(fù)和手動檢測這些漏洞。
• 利用自動掃描還可以幫助您的團隊節(jié)省時間，這些時間可以重新投入到培訓(xùn)、技能提升和知識共享中。

當前測試和工具的局限性

除了團隊內(nèi)部的知識差距之外，一些 AppSec 經(jīng)理還指出了他們當前的測試和工具面臨的許多限制。

這包括經(jīng)過身份驗證的掃描的挑戰(zhàn)、所使用的有效載荷的質(zhì)量以及無法深入測試 API。

人們普遍認為，許多可用的工具不足以有效地掃描 API 中是否存在漏洞，因為 API 參數(shù)的復(fù)雜性意味著大多數(shù) DAST 工具無法模擬它們。

如何解決這些挑戰(zhàn)？

• 雖然 API 掃描功能已經(jīng)在 Burp Suite 企業(yè)版中存在一段時間了，但您現(xiàn)在可以直接上傳 OpenAPI 定義文件。
• 進一步的更新將允許支持 SOAP API，從而增強掃描儀處理更廣泛定義的能力。
• 掃描獨立 API 時，您可以向 Burp Suite Enterprise Edition 提供驗證自身所需的憑據(jù)，從而允許您自動掃描需要驗證的 API。

進行測試的資源和時間

最后，許多 AppSec 和滲透測試團隊都面臨著時間和資源不足的問題，無法進行有效保護 API 所需的測試。這意味著測試缺乏細節(jié)，問題補救速度緩慢。

如何解決這些挑戰(zhàn)？

• 如上所述，自動化和安排 API 掃描可以幫助您節(jié)省時間。
• 以這種方式使用 Burp Suite 企業(yè)版可以幫助您獲得容易實現(xiàn)的目標，這意味著您的滲透測試人員可以將時間花在其他地方。

這些關(guān)鍵痛點說明了 AppSec 團隊面臨的挑戰(zhàn) - 不僅是現(xiàn)在，也是未來。當團隊努力應(yīng)對保護當前 API 資產(chǎn)時，隨著規(guī)模的增長，擴展方面的挑戰(zhàn)將變得難以想象。

自動化 DAST 掃描是減輕這一負擔、節(jié)省短期時間并實現(xiàn)擴展所需的流程和成熟度的重要工具。

如果您有任何問題需了解詳情，請聯(lián)系