在保護(hù) API 資產(chǎn)免受攻擊威脅時，AppSec 團(tuán)隊(duì)面臨著各種各樣的挑戰(zhàn)。在最近的網(wǎng)絡(luò)研討會上，Burp Suite 展示列企業(yè)版中增強(qiáng)的 API 掃描功能，并要求與會者描述他們最大的 API 安全痛點(diǎn)。

這些痛點(diǎn)來自各個行業(yè)和角色的AppSec 和滲透測試專業(yè)人士。在本博客中，我們將分享這些挑戰(zhàn) - 以及您可以采取哪些措施來解決它們。

Burp Suite 是一款領(lǐng)先的Web應(yīng)用程序安全測試工具。它被廣泛用于識別和修復(fù)Web應(yīng)用程序中的漏洞。

Burp Suite 最新版下載

AppSec 團(tuán)隊(duì)面臨的最大 API 安全挑戰(zhàn)是什么？

缺乏對 API 攻擊面的可見性

AppSec 專業(yè)人員因缺乏 API 可見性而面臨諸多痛苦 - 其中一個常見的挑戰(zhàn)是 API 端點(diǎn)的可發(fā)現(xiàn)性。

缺乏對他們擁有的 API 的全面了解（因此需要測試）——當(dāng)試圖保護(hù) API 免受各種不斷變化的威脅時，無法做到精準(zhǔn)預(yù)見。

如何解決這些挑戰(zhàn)？

• 對于缺乏 API 資產(chǎn)可見性的團(tuán)隊(duì)，Burp Suite 企業(yè)版可以檢測 API 流量并作為標(biāo)準(zhǔn)掃描的一部分自動審核它。
• Burp Suite 企業(yè)版還能夠識別您可能托管的任何可供攻擊者訪問的 API。
• 這些功能有助于減少對 API 攻擊面缺乏可見性的擔(dān)憂。

API 測試的自動化和擴(kuò)展

另一個重大挑戰(zhàn)是自動化測試的能力，因?yàn)樵S多組織仍然依賴手動測試。這引發(fā)了對可擴(kuò)展性的擔(dān)憂——19.5% 的 AppSec 專業(yè)人士已經(jīng)管理著超過 500 個 API 的資產(chǎn)。

隨著這個數(shù)字不斷增長，自動化在 API 安全中變得越來越重要。

如何解決這些挑戰(zhàn)？

• Burp Suite 企業(yè)版旨在自動化您的掃描，讓您可以隨時檢查結(jié)果。
• 您可以選擇特定于 API 的掃描來自行掃描您的 API，或者將其作為常規(guī)掃描的一部分進(jìn)行掃描。
• 這是通過提供現(xiàn)有 URL 或?qū)?OpenAPI（OAS）定義文件直接上傳到 Burp Suite Enterprise Edition 來完成的。
• 這些僅針對 API 的掃描可以自動化，從而實(shí)現(xiàn)更快、可擴(kuò)展的 API 掃描。

一致的流程和合規(guī)性

除了 API 安全性方面的技術(shù)挑戰(zhàn)之外，維護(hù)高效的流程以及對所做更改的一致記錄也成為一個重大挑戰(zhàn)。

許多 AppSec 經(jīng)理指出，他們的DevSecOps不夠成熟，導(dǎo)致工作效率低下。此外，安全團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)之間的協(xié)作也存在挑戰(zhàn)，這對維護(hù) API 產(chǎn)生了影響。

如何解決這些挑戰(zhàn)？

• CI 驅(qū)動的掃描可以為您的 SDLC 創(chuàng)建標(biāo)準(zhǔn)化程序，從而實(shí)現(xiàn) API 開發(fā)和管理的一致性。
• Burp Suite 企業(yè)版還通過將開發(fā)流程的結(jié)果傳輸?shù)焦ぞ咧衼碓鰪?qiáng)開發(fā)人員和 AppSec 團(tuán)隊(duì)之間的協(xié)作。
• 最后，使用 Burp Suite Enterprise Edition 等 DAST 掃描器有助于確保遵守許多相關(guān)法規(guī)，例如 FedRAMP。

知識和技能差距

最大的主題之一是對組織內(nèi)部技能和知識差距的擔(dān)憂。許多人指出，他們在了解如何配置端點(diǎn)以及與新員工和項(xiàng)目團(tuán)隊(duì)共享知識方面面臨挑戰(zhàn)。

他們還擔(dān)心團(tuán)隊(duì)是否擁有合適的技能，以及如何跟上 API 安全變化的頻率。

如何解決這些挑戰(zhàn)？

• 雖然軟件無法填補(bǔ)知識空白，但 Burp Suite 企業(yè)版為其發(fā)現(xiàn)的 API 漏洞提供了補(bǔ)救建議。
• 該平臺還鏈接到學(xué)習(xí)材料和其他資源，幫助您的團(tuán)隊(duì)學(xué)習(xí)如何修復(fù)和手動檢測這些漏洞。
• 利用自動掃描還可以幫助您的團(tuán)隊(duì)節(jié)省時間，這些時間可以重新投入到培訓(xùn)、技能提升和知識共享中。

當(dāng)前測試和工具的局限性

除了團(tuán)隊(duì)內(nèi)部的知識差距之外，一些 AppSec 經(jīng)理還指出了他們當(dāng)前的測試和工具面臨的許多限制。

這包括經(jīng)過身份驗(yàn)證的掃描的挑戰(zhàn)、所使用的有效載荷的質(zhì)量以及無法深入測試 API。

人們普遍認(rèn)為，許多可用的工具不足以有效地掃描 API 中是否存在漏洞，因?yàn)?API 參數(shù)的復(fù)雜性意味著大多數(shù) DAST 工具無法模擬它們。

如何解決這些挑戰(zhàn)？

• 雖然 API 掃描功能已經(jīng)在 Burp Suite 企業(yè)版中存在一段時間了，但您現(xiàn)在可以直接上傳 OpenAPI 定義文件。
• 進(jìn)一步的更新將允許支持 SOAP API，從而增強(qiáng)掃描儀處理更廣泛定義的能力。
• 掃描獨(dú)立 API 時，您可以向 Burp Suite Enterprise Edition 提供驗(yàn)證自身所需的憑據(jù)，從而允許您自動掃描需要驗(yàn)證的 API。

進(jìn)行測試的資源和時間

最后，許多 AppSec 和滲透測試團(tuán)隊(duì)都面臨著時間和資源不足的問題，無法進(jìn)行有效保護(hù) API 所需的測試。這意味著測試缺乏細(xì)節(jié)，問題補(bǔ)救速度緩慢。

如何解決這些挑戰(zhàn)？

• 如上所述，自動化和安排 API 掃描可以幫助您節(jié)省時間。
• 以這種方式使用 Burp Suite 企業(yè)版可以幫助您獲得容易實(shí)現(xiàn)的目標(biāo)，這意味著您的滲透測試人員可以將時間花在其他地方。

這些關(guān)鍵痛點(diǎn)說明了 AppSec 團(tuán)隊(duì)面臨的挑戰(zhàn) - 不僅是現(xiàn)在，也是未來。當(dāng)團(tuán)隊(duì)努力應(yīng)對保護(hù)當(dāng)前 API 資產(chǎn)時，隨著規(guī)模的增長，擴(kuò)展方面的挑戰(zhàn)將變得難以想象。

自動化 DAST 掃描是減輕這一負(fù)擔(dān)、節(jié)省短期時間并實(shí)現(xiàn)擴(kuò)展所需的流程和成熟度的重要工具。

如果您有任何問題需了解詳情，請聯(lián)系