API 보안: 미션 임파서블?
사이버 공격은 의심할 여지 없이 증가하고 있습니다.Verizon 2021 데이터 침해 조사 보고서에 따르면 위협 환경은 다음과 같습니다. 오늘은 더 위험해 그 어느 때보다.규모를 막론하고 조직은 공격 대상을 노리는 위협 행위자로부터 더 많은 공격과 더 높은 수준의 정교함을 경험하고 있습니다.그리고 공격자의 성공률도 치솟고 있습니다.
가장 최근의 공격을 분석하면 사이버 방어에 대한 전례 없는 공세 속에서 해커들이 사용하는 가장 일반적인 취약점과 기술을 발견할 수 있습니다.오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 를 만든 공격과 같이 가장 널리 사용되는 공격 중 일부 2021년 10대 보안 위험 및 취약성, 자격 증명을 도용하거나 기타 침해하는 행위와 관련이 있습니다.그리고 보안 연구에 따르면 Akamai가 실시한 결과, 압도적 다수 (거의 75%) 가 API가 보유한 자격 증명을 직접 대상으로 했습니다.
API의 증가와 파멸 가능성
거의 모든 조직의 네트워크에서 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 증가하고 있는 것은 놀라운 일이 아닙니다.이들은 대부분의 기업, 조직 및 정부 기관의 온프레미스 자산 기능을 빠르게 인수하고 있는 대부분의 클라우드 기반 서비스의 핵심 구성 요소입니다.요즘에는 클라우드가 없으면 어떤 종류의 비즈니스나 작업도 거의 수행할 수 없습니다. 특히 공공을 대상으로 하는 비즈니스는 더욱 그렇습니다.즉, API는 모든 네트워크에서 상당히 많은 서비스를 하나로 묶는 역할을 할 것입니다.
API의 놀라운 점은 네트워크 리소스 할당 측면에서 API가 대부분 작고 눈에 거슬리지 않는다는 것입니다.그리고 거의 모든 작업을 수행할 수 있을 정도로 완전히 유연합니다.API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다.호스트 운영 체제, 애플리케이션 또는 서비스의 데이터 액세스와 같은 매우 특정한 기능을 수행하는 데 활용할 수 있습니다.
안타깝게도 API가 매력적인 타겟이 되는 이유는 바로 이와 동일한 유연성과 규모가 작고 보안 팀에서 간과하는 경우가 많기 때문입니다.대부분의 API는 개발자가 완전한 유연성을 고려하여 설계하므로, 예를 들어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다.그리고 표준도 거의 없습니다.눈송이와 마찬가지로 많은 API는 특정 네트워크에서 단일 프로그램으로 특정 기능을 제공하도록 만들어졌다는 점에서 독특합니다.보안에 대해 잘 모르거나 특별히 보안에 집중하지 않는 개발자가 코딩한 것이라면 얼마든지 만들 수 있고 또 그럴 가능성이 높습니다. 취약성이 있습니다 공격자가 찾아서 악용할 수 있습니다.
안타깝게도 문제는 빠르게 해결되지 않고 있습니다.가트너에 따르면 2022년이 되면 API와 관련된 취약성 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.
공격자가 API를 손상시키려는 주요 이유는 API가 수행하는 특정 기능을 넘겨받기 위해서가 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다.API의 가장 큰 문제점 중 하나는 취약점이 무성할 뿐만 아니라 취약성이 자주 발생한다는 것입니다. 지나치게 허가됨 핵심 기능과 관련하여간단히 말해서, 대부분의 API는 네트워크에서 관리자 수준에 가까운 액세스 권한을 가집니다.공격자가 제어 권한을 얻으면 해당 권한을 사용하여 네트워크에 더 심층적이고 실질적인 침입을 시도할 수 있는 경우가 많습니다.또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 Access-All-Area VIP 백스테이지 패스 덕분에 API가 규칙을 위반하지 않기 때문에 공격자의 행위가 기존의 사이버 보안 모니터링을 우회하는 경우가 많습니다.
조직이 주의를 기울이지 않으면 네트워크와 클라우드 내에서 API가 증가하여 공격자의 표적이 될 경우 큰 문제가 발생할 수도 있습니다.
API 방어
API의 상황은 점점 더 위험해지고 있지만 절망적이지는 않습니다.움직임을 통한 많은 노력이 필요합니다. 데브섹옵스처럼 개발자가 보안을 더 잘 인식할 수 있도록 돕고 개발에서 테스트 및 배포에 이르는 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 적용할 수 있도록 합니다.2022년 이후까지 API 악용 추세를 극복하고자 하는 모든 조직에게는 이러한 교육의 일부로 API 보안을 포함하는 것이 매우 중요할 것입니다.
그렇긴 하지만 API 보안 측면에서 지금 바로 구현할 수 있는 몇 가지 정말 좋은 모범 사례가 있습니다.
첫 번째는 모든 API에 엄격한 ID 제어를 포함하는 것입니다.권한을 할당할 때는 이들을 거의 인간 사용자와 비슷하게 생각해야 합니다.API는 특정 기능만 수행하도록 설계되었으므로 공격자가 API를 침해할 경우 어떤 일이 발생할 수 있는지 생각해 보아야 합니다.역할 기반 액세스 제어를 사용해 보세요.궁극적으로는 API와 사용자에게 제로 트러스트 원칙을 적용하는 것이 가장 좋지만, 이는 긴 여정인 경우가 많습니다.올바른 ID 관리부터 시작하는 것이 좋습니다.해당 프로그램에 API를 포함시키기만 하면 됩니다.
또한 API가 수행하는 다양한 호출을 최대한 엄격하게 제어해야 합니다.이러한 호출을 매우 컨텍스트 중심적인 요청으로 제한하면 공격자가 악의적인 목적으로 요청을 수정하기가 훨씬 더 어려워집니다.초기 API가 무엇을 찾고 무엇을 무시해야 하는지 정확히 알고 있는 다른 API를 고도로 상황에 맞게 호출하여 API를 계층화할 수도 있습니다.이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 해당 위협 행위자가 이용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.
API에 대한 위협은 확실히 압도적으로 보일 수 있습니다.하지만 모범 사례를 구현하는 동시에 보안 챔피언이 된 개발자를 지원하고 보상하면 상황이 훨씬 덜 절망적으로 느껴질 수 있습니다.충분한 교육과 연습만 있으면 작지만 필수적인 API 도구 중 하나를 손상시키더라도 공격자가 기동할 여지를 거의 주지 않는 강력한 보안 프로그램을 만들 수 있습니다.
API 보안은 어렵지만 적절한 교육, 계획 및 모범 사례에 초점을 맞추면 가장 취약한 취약성도 완화할 수 있습니다.
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
사이버 공격은 의심할 여지 없이 증가하고 있습니다.Verizon 2021 데이터 침해 조사 보고서에 따르면 위협 환경은 다음과 같습니다. 오늘은 더 위험해 그 어느 때보다.규모를 막론하고 조직은 공격 대상을 노리는 위협 행위자로부터 더 많은 공격과 더 높은 수준의 정교함을 경험하고 있습니다.그리고 공격자의 성공률도 치솟고 있습니다.
가장 최근의 공격을 분석하면 사이버 방어에 대한 전례 없는 공세 속에서 해커들이 사용하는 가장 일반적인 취약점과 기술을 발견할 수 있습니다.오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 를 만든 공격과 같이 가장 널리 사용되는 공격 중 일부 2021년 10대 보안 위험 및 취약성, 자격 증명을 도용하거나 기타 침해하는 행위와 관련이 있습니다.그리고 보안 연구에 따르면 Akamai가 실시한 결과, 압도적 다수 (거의 75%) 가 API가 보유한 자격 증명을 직접 대상으로 했습니다.
API의 증가와 파멸 가능성
거의 모든 조직의 네트워크에서 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 증가하고 있는 것은 놀라운 일이 아닙니다.이들은 대부분의 기업, 조직 및 정부 기관의 온프레미스 자산 기능을 빠르게 인수하고 있는 대부분의 클라우드 기반 서비스의 핵심 구성 요소입니다.요즘에는 클라우드가 없으면 어떤 종류의 비즈니스나 작업도 거의 수행할 수 없습니다. 특히 공공을 대상으로 하는 비즈니스는 더욱 그렇습니다.즉, API는 모든 네트워크에서 상당히 많은 서비스를 하나로 묶는 역할을 할 것입니다.
API의 놀라운 점은 네트워크 리소스 할당 측면에서 API가 대부분 작고 눈에 거슬리지 않는다는 것입니다.그리고 거의 모든 작업을 수행할 수 있을 정도로 완전히 유연합니다.API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다.호스트 운영 체제, 애플리케이션 또는 서비스의 데이터 액세스와 같은 매우 특정한 기능을 수행하는 데 활용할 수 있습니다.
안타깝게도 API가 매력적인 타겟이 되는 이유는 바로 이와 동일한 유연성과 규모가 작고 보안 팀에서 간과하는 경우가 많기 때문입니다.대부분의 API는 개발자가 완전한 유연성을 고려하여 설계하므로, 예를 들어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다.그리고 표준도 거의 없습니다.눈송이와 마찬가지로 많은 API는 특정 네트워크에서 단일 프로그램으로 특정 기능을 제공하도록 만들어졌다는 점에서 독특합니다.보안에 대해 잘 모르거나 특별히 보안에 집중하지 않는 개발자가 코딩한 것이라면 얼마든지 만들 수 있고 또 그럴 가능성이 높습니다. 취약성이 있습니다 공격자가 찾아서 악용할 수 있습니다.
안타깝게도 문제는 빠르게 해결되지 않고 있습니다.가트너에 따르면 2022년이 되면 API와 관련된 취약성 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.
공격자가 API를 손상시키려는 주요 이유는 API가 수행하는 특정 기능을 넘겨받기 위해서가 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다.API의 가장 큰 문제점 중 하나는 취약점이 무성할 뿐만 아니라 취약성이 자주 발생한다는 것입니다. 지나치게 허가됨 핵심 기능과 관련하여간단히 말해서, 대부분의 API는 네트워크에서 관리자 수준에 가까운 액세스 권한을 가집니다.공격자가 제어 권한을 얻으면 해당 권한을 사용하여 네트워크에 더 심층적이고 실질적인 침입을 시도할 수 있는 경우가 많습니다.또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 Access-All-Area VIP 백스테이지 패스 덕분에 API가 규칙을 위반하지 않기 때문에 공격자의 행위가 기존의 사이버 보안 모니터링을 우회하는 경우가 많습니다.
조직이 주의를 기울이지 않으면 네트워크와 클라우드 내에서 API가 증가하여 공격자의 표적이 될 경우 큰 문제가 발생할 수도 있습니다.
API 방어
API의 상황은 점점 더 위험해지고 있지만 절망적이지는 않습니다.움직임을 통한 많은 노력이 필요합니다. 데브섹옵스처럼 개발자가 보안을 더 잘 인식할 수 있도록 돕고 개발에서 테스트 및 배포에 이르는 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 적용할 수 있도록 합니다.2022년 이후까지 API 악용 추세를 극복하고자 하는 모든 조직에게는 이러한 교육의 일부로 API 보안을 포함하는 것이 매우 중요할 것입니다.
그렇긴 하지만 API 보안 측면에서 지금 바로 구현할 수 있는 몇 가지 정말 좋은 모범 사례가 있습니다.
첫 번째는 모든 API에 엄격한 ID 제어를 포함하는 것입니다.권한을 할당할 때는 이들을 거의 인간 사용자와 비슷하게 생각해야 합니다.API는 특정 기능만 수행하도록 설계되었으므로 공격자가 API를 침해할 경우 어떤 일이 발생할 수 있는지 생각해 보아야 합니다.역할 기반 액세스 제어를 사용해 보세요.궁극적으로는 API와 사용자에게 제로 트러스트 원칙을 적용하는 것이 가장 좋지만, 이는 긴 여정인 경우가 많습니다.올바른 ID 관리부터 시작하는 것이 좋습니다.해당 프로그램에 API를 포함시키기만 하면 됩니다.
또한 API가 수행하는 다양한 호출을 최대한 엄격하게 제어해야 합니다.이러한 호출을 매우 컨텍스트 중심적인 요청으로 제한하면 공격자가 악의적인 목적으로 요청을 수정하기가 훨씬 더 어려워집니다.초기 API가 무엇을 찾고 무엇을 무시해야 하는지 정확히 알고 있는 다른 API를 고도로 상황에 맞게 호출하여 API를 계층화할 수도 있습니다.이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 해당 위협 행위자가 이용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.
API에 대한 위협은 확실히 압도적으로 보일 수 있습니다.하지만 모범 사례를 구현하는 동시에 보안 챔피언이 된 개발자를 지원하고 보상하면 상황이 훨씬 덜 절망적으로 느껴질 수 있습니다.충분한 교육과 연습만 있으면 작지만 필수적인 API 도구 중 하나를 손상시키더라도 공격자가 기동할 여지를 거의 주지 않는 강력한 보안 프로그램을 만들 수 있습니다.
사이버 공격은 의심할 여지 없이 증가하고 있습니다.Verizon 2021 데이터 침해 조사 보고서에 따르면 위협 환경은 다음과 같습니다. 오늘은 더 위험해 그 어느 때보다.규모를 막론하고 조직은 공격 대상을 노리는 위협 행위자로부터 더 많은 공격과 더 높은 수준의 정교함을 경험하고 있습니다.그리고 공격자의 성공률도 치솟고 있습니다.
가장 최근의 공격을 분석하면 사이버 방어에 대한 전례 없는 공세 속에서 해커들이 사용하는 가장 일반적인 취약점과 기술을 발견할 수 있습니다.오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 를 만든 공격과 같이 가장 널리 사용되는 공격 중 일부 2021년 10대 보안 위험 및 취약성, 자격 증명을 도용하거나 기타 침해하는 행위와 관련이 있습니다.그리고 보안 연구에 따르면 Akamai가 실시한 결과, 압도적 다수 (거의 75%) 가 API가 보유한 자격 증명을 직접 대상으로 했습니다.
API의 증가와 파멸 가능성
거의 모든 조직의 네트워크에서 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 증가하고 있는 것은 놀라운 일이 아닙니다.이들은 대부분의 기업, 조직 및 정부 기관의 온프레미스 자산 기능을 빠르게 인수하고 있는 대부분의 클라우드 기반 서비스의 핵심 구성 요소입니다.요즘에는 클라우드가 없으면 어떤 종류의 비즈니스나 작업도 거의 수행할 수 없습니다. 특히 공공을 대상으로 하는 비즈니스는 더욱 그렇습니다.즉, API는 모든 네트워크에서 상당히 많은 서비스를 하나로 묶는 역할을 할 것입니다.
API의 놀라운 점은 네트워크 리소스 할당 측면에서 API가 대부분 작고 눈에 거슬리지 않는다는 것입니다.그리고 거의 모든 작업을 수행할 수 있을 정도로 완전히 유연합니다.API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다.호스트 운영 체제, 애플리케이션 또는 서비스의 데이터 액세스와 같은 매우 특정한 기능을 수행하는 데 활용할 수 있습니다.
안타깝게도 API가 매력적인 타겟이 되는 이유는 바로 이와 동일한 유연성과 규모가 작고 보안 팀에서 간과하는 경우가 많기 때문입니다.대부분의 API는 개발자가 완전한 유연성을 고려하여 설계하므로, 예를 들어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다.그리고 표준도 거의 없습니다.눈송이와 마찬가지로 많은 API는 특정 네트워크에서 단일 프로그램으로 특정 기능을 제공하도록 만들어졌다는 점에서 독특합니다.보안에 대해 잘 모르거나 특별히 보안에 집중하지 않는 개발자가 코딩한 것이라면 얼마든지 만들 수 있고 또 그럴 가능성이 높습니다. 취약성이 있습니다 공격자가 찾아서 악용할 수 있습니다.
안타깝게도 문제는 빠르게 해결되지 않고 있습니다.가트너에 따르면 2022년이 되면 API와 관련된 취약성 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.
공격자가 API를 손상시키려는 주요 이유는 API가 수행하는 특정 기능을 넘겨받기 위해서가 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다.API의 가장 큰 문제점 중 하나는 취약점이 무성할 뿐만 아니라 취약성이 자주 발생한다는 것입니다. 지나치게 허가됨 핵심 기능과 관련하여간단히 말해서, 대부분의 API는 네트워크에서 관리자 수준에 가까운 액세스 권한을 가집니다.공격자가 제어 권한을 얻으면 해당 권한을 사용하여 네트워크에 더 심층적이고 실질적인 침입을 시도할 수 있는 경우가 많습니다.또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 Access-All-Area VIP 백스테이지 패스 덕분에 API가 규칙을 위반하지 않기 때문에 공격자의 행위가 기존의 사이버 보안 모니터링을 우회하는 경우가 많습니다.
조직이 주의를 기울이지 않으면 네트워크와 클라우드 내에서 API가 증가하여 공격자의 표적이 될 경우 큰 문제가 발생할 수도 있습니다.
API 방어
API의 상황은 점점 더 위험해지고 있지만 절망적이지는 않습니다.움직임을 통한 많은 노력이 필요합니다. 데브섹옵스처럼 개발자가 보안을 더 잘 인식할 수 있도록 돕고 개발에서 테스트 및 배포에 이르는 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 적용할 수 있도록 합니다.2022년 이후까지 API 악용 추세를 극복하고자 하는 모든 조직에게는 이러한 교육의 일부로 API 보안을 포함하는 것이 매우 중요할 것입니다.
그렇긴 하지만 API 보안 측면에서 지금 바로 구현할 수 있는 몇 가지 정말 좋은 모범 사례가 있습니다.
첫 번째는 모든 API에 엄격한 ID 제어를 포함하는 것입니다.권한을 할당할 때는 이들을 거의 인간 사용자와 비슷하게 생각해야 합니다.API는 특정 기능만 수행하도록 설계되었으므로 공격자가 API를 침해할 경우 어떤 일이 발생할 수 있는지 생각해 보아야 합니다.역할 기반 액세스 제어를 사용해 보세요.궁극적으로는 API와 사용자에게 제로 트러스트 원칙을 적용하는 것이 가장 좋지만, 이는 긴 여정인 경우가 많습니다.올바른 ID 관리부터 시작하는 것이 좋습니다.해당 프로그램에 API를 포함시키기만 하면 됩니다.
또한 API가 수행하는 다양한 호출을 최대한 엄격하게 제어해야 합니다.이러한 호출을 매우 컨텍스트 중심적인 요청으로 제한하면 공격자가 악의적인 목적으로 요청을 수정하기가 훨씬 더 어려워집니다.초기 API가 무엇을 찾고 무엇을 무시해야 하는지 정확히 알고 있는 다른 API를 고도로 상황에 맞게 호출하여 API를 계층화할 수도 있습니다.이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 해당 위협 행위자가 이용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.
API에 대한 위협은 확실히 압도적으로 보일 수 있습니다.하지만 모범 사례를 구현하는 동시에 보안 챔피언이 된 개발자를 지원하고 보상하면 상황이 훨씬 덜 절망적으로 느껴질 수 있습니다.충분한 교육과 연습만 있으면 작지만 필수적인 API 도구 중 하나를 손상시키더라도 공격자가 기동할 여지를 거의 주지 않는 강력한 보안 프로그램을 만들 수 있습니다.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Consulter le rapportVeuillez prendre rendez-vous pour une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
사이버 공격은 의심할 여지 없이 증가하고 있습니다.Verizon 2021 데이터 침해 조사 보고서에 따르면 위협 환경은 다음과 같습니다. 오늘은 더 위험해 그 어느 때보다.규모를 막론하고 조직은 공격 대상을 노리는 위협 행위자로부터 더 많은 공격과 더 높은 수준의 정교함을 경험하고 있습니다.그리고 공격자의 성공률도 치솟고 있습니다.
가장 최근의 공격을 분석하면 사이버 방어에 대한 전례 없는 공세 속에서 해커들이 사용하는 가장 일반적인 취약점과 기술을 발견할 수 있습니다.오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 를 만든 공격과 같이 가장 널리 사용되는 공격 중 일부 2021년 10대 보안 위험 및 취약성, 자격 증명을 도용하거나 기타 침해하는 행위와 관련이 있습니다.그리고 보안 연구에 따르면 Akamai가 실시한 결과, 압도적 다수 (거의 75%) 가 API가 보유한 자격 증명을 직접 대상으로 했습니다.
API의 증가와 파멸 가능성
거의 모든 조직의 네트워크에서 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 증가하고 있는 것은 놀라운 일이 아닙니다.이들은 대부분의 기업, 조직 및 정부 기관의 온프레미스 자산 기능을 빠르게 인수하고 있는 대부분의 클라우드 기반 서비스의 핵심 구성 요소입니다.요즘에는 클라우드가 없으면 어떤 종류의 비즈니스나 작업도 거의 수행할 수 없습니다. 특히 공공을 대상으로 하는 비즈니스는 더욱 그렇습니다.즉, API는 모든 네트워크에서 상당히 많은 서비스를 하나로 묶는 역할을 할 것입니다.
API의 놀라운 점은 네트워크 리소스 할당 측면에서 API가 대부분 작고 눈에 거슬리지 않는다는 것입니다.그리고 거의 모든 작업을 수행할 수 있을 정도로 완전히 유연합니다.API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다.호스트 운영 체제, 애플리케이션 또는 서비스의 데이터 액세스와 같은 매우 특정한 기능을 수행하는 데 활용할 수 있습니다.
안타깝게도 API가 매력적인 타겟이 되는 이유는 바로 이와 동일한 유연성과 규모가 작고 보안 팀에서 간과하는 경우가 많기 때문입니다.대부분의 API는 개발자가 완전한 유연성을 고려하여 설계하므로, 예를 들어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다.그리고 표준도 거의 없습니다.눈송이와 마찬가지로 많은 API는 특정 네트워크에서 단일 프로그램으로 특정 기능을 제공하도록 만들어졌다는 점에서 독특합니다.보안에 대해 잘 모르거나 특별히 보안에 집중하지 않는 개발자가 코딩한 것이라면 얼마든지 만들 수 있고 또 그럴 가능성이 높습니다. 취약성이 있습니다 공격자가 찾아서 악용할 수 있습니다.
안타깝게도 문제는 빠르게 해결되지 않고 있습니다.가트너에 따르면 2022년이 되면 API와 관련된 취약성 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.
공격자가 API를 손상시키려는 주요 이유는 API가 수행하는 특정 기능을 넘겨받기 위해서가 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다.API의 가장 큰 문제점 중 하나는 취약점이 무성할 뿐만 아니라 취약성이 자주 발생한다는 것입니다. 지나치게 허가됨 핵심 기능과 관련하여간단히 말해서, 대부분의 API는 네트워크에서 관리자 수준에 가까운 액세스 권한을 가집니다.공격자가 제어 권한을 얻으면 해당 권한을 사용하여 네트워크에 더 심층적이고 실질적인 침입을 시도할 수 있는 경우가 많습니다.또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 Access-All-Area VIP 백스테이지 패스 덕분에 API가 규칙을 위반하지 않기 때문에 공격자의 행위가 기존의 사이버 보안 모니터링을 우회하는 경우가 많습니다.
조직이 주의를 기울이지 않으면 네트워크와 클라우드 내에서 API가 증가하여 공격자의 표적이 될 경우 큰 문제가 발생할 수도 있습니다.
API 방어
API의 상황은 점점 더 위험해지고 있지만 절망적이지는 않습니다.움직임을 통한 많은 노력이 필요합니다. 데브섹옵스처럼 개발자가 보안을 더 잘 인식할 수 있도록 돕고 개발에서 테스트 및 배포에 이르는 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 적용할 수 있도록 합니다.2022년 이후까지 API 악용 추세를 극복하고자 하는 모든 조직에게는 이러한 교육의 일부로 API 보안을 포함하는 것이 매우 중요할 것입니다.
그렇긴 하지만 API 보안 측면에서 지금 바로 구현할 수 있는 몇 가지 정말 좋은 모범 사례가 있습니다.
첫 번째는 모든 API에 엄격한 ID 제어를 포함하는 것입니다.권한을 할당할 때는 이들을 거의 인간 사용자와 비슷하게 생각해야 합니다.API는 특정 기능만 수행하도록 설계되었으므로 공격자가 API를 침해할 경우 어떤 일이 발생할 수 있는지 생각해 보아야 합니다.역할 기반 액세스 제어를 사용해 보세요.궁극적으로는 API와 사용자에게 제로 트러스트 원칙을 적용하는 것이 가장 좋지만, 이는 긴 여정인 경우가 많습니다.올바른 ID 관리부터 시작하는 것이 좋습니다.해당 프로그램에 API를 포함시키기만 하면 됩니다.
또한 API가 수행하는 다양한 호출을 최대한 엄격하게 제어해야 합니다.이러한 호출을 매우 컨텍스트 중심적인 요청으로 제한하면 공격자가 악의적인 목적으로 요청을 수정하기가 훨씬 더 어려워집니다.초기 API가 무엇을 찾고 무엇을 무시해야 하는지 정확히 알고 있는 다른 API를 고도로 상황에 맞게 호출하여 API를 계층화할 수도 있습니다.이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 해당 위협 행위자가 이용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.
API에 대한 위협은 확실히 압도적으로 보일 수 있습니다.하지만 모범 사례를 구현하는 동시에 보안 챔피언이 된 개발자를 지원하고 보상하면 상황이 훨씬 덜 절망적으로 느껴질 수 있습니다.충분한 교육과 연습만 있으면 작지만 필수적인 API 도구 중 하나를 손상시키더라도 공격자가 기동할 여지를 거의 주지 않는 강력한 보안 프로그램을 만들 수 있습니다.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior est là pour aider les organisations à protéger leur code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou tout autre professionnel de la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez prendre rendez-vous pour une démonstration.TéléchargerRessources utiles pour débuter
Thèmes et contenus de la formation sur les codes de sécurité
Le contenu le plus pertinent du secteur évolue constamment pour s'adapter à l'environnement de développement logiciel en constante évolution, en tenant compte du rôle des clients. Des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité, tous les rôles sont couverts, de l'IA à l'injection XQuery. Veuillez consulter le catalogue de contenu pour découvrir ce qui est proposé par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources utiles pour débuter
Cybermon est de retour : la mission IA de défaite du boss est désormais disponible à la demande.
Cybermon 2025 Bit The Boss est désormais disponible toute l'année sur SCW. Renforcez le développement de l'IA de sécurité à grande échelle en déployant des défis de sécurité IA/LLM avancés.
Explication de la loi sur la cyber-résilience : l'importance de la conception sécurisée dans le développement de logiciels
Découvrez les exigences de la loi européenne sur la résilience des réseaux et des services (CRA), son champ d'application et comment votre équipe d'ingénieurs peut se préparer en toute sécurité grâce à la conception, aux pratiques, à la prévention des vulnérabilités et à la mise en place d'un environnement de développement.
Facteur de réussite n° 1 : des critères de réussite clairement définis et mesurables
Enabler 1 présente une série de dix articles consacrés aux facteurs de réussite, en démontrant comment le codage sécurisé peut améliorer les performances commerciales, notamment en accélérant la réduction des risques et des coûts pour la maturité des programmes à long terme.
