12月3日 , 由永安在线主办的首届API安全管理论坛在深圳成功举办众多安全领域技术专家以及企业信息安全决策与实践者齐聚一堂 , 围绕数字化时代下API面临的挑战及如何进行API安全管理进行了分享与探讨 , 论坛现场座无虚席 , 精彩观点不断 。
文章图片
对API的保护本质上就是对数据安全的保护
【论坛|首届API安全管理论坛成功举办,聚焦API安全共话最佳实践】API 在现代应用程序架构中发挥着非常重要的作用 , 当创新发展和安全意识发展的不同步发生时 , 带来的安全风险将加大 , 目前API面临的十大关键安全风险是哪些?在论坛伊始 , OWASP中国广东区域负责人肖文棣以OWASP API Top 10作为基础 , 结合案例详细解读十大API安全风险 。
他表示 , 无论线上购物还是进行银行交易都离不开对API的访问和控制 , 对API的保护实质上就是对数据安全的保护 , 这是企业必选题 。 OWASP API Top 10是通过可利用性、弱点普遍性、弱点可检测性、技术影响、业务影响等指标来进行风险评级评出 , 企业应当针对这些API关键风险进行逐一解决 , 特别是关注API业务逻辑缺陷和过度数据暴露 , 在现场 , 他为参会者分享了预防策略 。
文章图片
(OWASP中国广东区域负责人 肖文棣)
API安全应该独立于Web安全之外
Web API本身是一个cgi , API安全一直以来都是Web安全中的一类 , 为什么最近几年偏偏把API安全单独拿出来讨论?API面临哪些安全挑战?该如何来做好防御?腾讯技术工程事业群安全专家胡珀就以《新的安全威胁:API安全的挑战及应对策略》为主题进行了分享 。
他提出 , 目前企业都拥有大量的API , 很多数据安全事件也因为API滥用所致 , 这是API单独拿出来讨论的直接原因 。 而API安全形势之所以严峻 , 主要源于四个原因:外部黑客紧盯、能力沉淀不足、支撑功能未跟上、自身安全机制考虑欠缺 。 这些除了自身安全意识的提高之外 , 也更需要针对性的管理工具来辅助 。
文章图片
(腾讯技术工程事业群安全专家 胡珀)
API安全场景下数据安全的管理难点在哪?
在云原生背景下 , 微服务架构的API治理与数据安全的保障密切相关 , 将如何进行应用安全保障?乐信集团信息安全中心总监刘志诚以《API安全解决数据安全问题实践》为主题进行了分享 。
他认为 , 数据安全疑点主要在三个方面:一是分级分类如何应用 , 二是数据脱敏的When和Where , 三是API访问数据的Who和How 。 目前大量API的分级分类管理存在困难 , 因此涉敏数据的暴露不断发生 。 作为企业安全的设计者、建设者和管理者 , 解决数据安全问题的首要就是对API的清晰梳理 , 才能对涉敏数据的分级分类管理 , 解决数据安全问题 。
推荐阅读
- 养殖|科创信达冠名!第二届智慧养殖高峰论坛帷幕:推动畜牧行业新升级
- 端口|俄语黑客论坛出售全新私人定制勒索病毒——BlackCat
- 电磁场|首届全国颠覆性技术创新大赛领域赛(青岛)举办
- 银行|聚焦“财富管理”首届中信银行APP节全程直播
- 商报讯|第七届京台科技论坛建筑专题论坛在京举办
- 数据|亚太智慧城市发展论坛举行,智慧城市成迎接数字时代重要抓手
- 有色金属|探寻新材料产业新技术、新理念、新思路,这场论坛信息量满满!
- 大会|首届世界数字化转型大会明春举办
- 开新|引风向 开新局 建生态 PKS2021生态大会安全先进绿色计算+数字健康论坛召开
- Minute|首届Minute国际短片节颁奖典礼星光璀璨,十部短片佳作脱颖而出