API 보안: 미션 임파서블?

사이버 공격은 의심할 여지 없이 증가하고 있습니다.Verizon 2021 데이터 침해 조사 보고서에 따르면 위협 환경은 다음과 같습니다. 오늘은 더 위험해 그 어느 때보다.규모를 막론하고 조직은 공격 대상을 노리는 위협 행위자로부터 더 많은 공격과 더 높은 수준의 정교함을 경험하고 있습니다.그리고 공격자의 성공률도 치솟고 있습니다.

가장 최근의 공격을 분석하면 사이버 방어에 대한 전례 없는 공세 속에서 해커들이 사용하는 가장 일반적인 취약점과 기술을 발견할 수 있습니다.오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 를 만든 공격과 같이 가장 널리 사용되는 공격 중 일부 2021년 10대 보안 위험 및 취약성, 자격 증명을 도용하거나 기타 침해하는 행위와 관련이 있습니다.그리고 보안 연구에 따르면 Akamai가 실시한 결과, 압도적 다수 (거의 75%) 가 API가 보유한 자격 증명을 직접 대상으로 했습니다.

API의 증가와 파멸 가능성

거의 모든 조직의 네트워크에서 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 증가하고 있는 것은 놀라운 일이 아닙니다.이들은 대부분의 기업, 조직 및 정부 기관의 온프레미스 자산 기능을 빠르게 인수하고 있는 대부분의 클라우드 기반 서비스의 핵심 구성 요소입니다.요즘에는 클라우드가 없으면 어떤 종류의 비즈니스나 작업도 거의 수행할 수 없습니다. 특히 공공을 대상으로 하는 비즈니스는 더욱 그렇습니다.즉, API는 모든 네트워크에서 상당히 많은 서비스를 하나로 묶는 역할을 할 것입니다.

API의 놀라운 점은 네트워크 리소스 할당 측면에서 API가 대부분 작고 눈에 거슬리지 않는다는 것입니다.그리고 거의 모든 작업을 수행할 수 있을 정도로 완전히 유연합니다.API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다.호스트 운영 체제, 애플리케이션 또는 서비스의 데이터 액세스와 같은 매우 특정한 기능을 수행하는 데 활용할 수 있습니다.

안타깝게도 API가 매력적인 타겟이 되는 이유는 바로 이와 동일한 유연성과 규모가 작고 보안 팀에서 간과하는 경우가 많기 때문입니다.대부분의 API는 개발자가 완전한 유연성을 고려하여 설계하므로, 예를 들어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다.그리고 표준도 거의 없습니다.눈송이와 마찬가지로 많은 API는 특정 네트워크에서 단일 프로그램으로 특정 기능을 제공하도록 만들어졌다는 점에서 독특합니다.보안에 대해 잘 모르거나 특별히 보안에 집중하지 않는 개발자가 코딩한 것이라면 얼마든지 만들 수 있고 또 그럴 가능성이 높습니다. 취약성이 있습니다 공격자가 찾아서 악용할 수 있습니다.

안타깝게도 문제는 빠르게 해결되지 않고 있습니다.가트너에 따르면 2022년이 되면 API와 관련된 취약성 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.

공격자가 API를 손상시키려는 주요 이유는 API가 수행하는 특정 기능을 넘겨받기 위해서가 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다.API의 가장 큰 문제점 중 하나는 취약점이 무성할 뿐만 아니라 취약성이 자주 발생한다는 것입니다. 지나치게 허가됨 핵심 기능과 관련하여간단히 말해서, 대부분의 API는 네트워크에서 관리자 수준에 가까운 액세스 권한을 가집니다.공격자가 제어 권한을 얻으면 해당 권한을 사용하여 네트워크에 더 심층적이고 실질적인 침입을 시도할 수 있는 경우가 많습니다.또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 Access-All-Area VIP 백스테이지 패스 덕분에 API가 규칙을 위반하지 않기 때문에 공격자의 행위가 기존의 사이버 보안 모니터링을 우회하는 경우가 많습니다.

조직이 주의를 기울이지 않으면 네트워크와 클라우드 내에서 API가 증가하여 공격자의 표적이 될 경우 큰 문제가 발생할 수도 있습니다.

API 방어

API의 상황은 점점 더 위험해지고 있지만 절망적이지는 않습니다.움직임을 통한 많은 노력이 필요합니다. 데브섹옵스처럼 개발자가 보안을 더 잘 인식할 수 있도록 돕고 개발에서 테스트 및 배포에 이르는 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 적용할 수 있도록 합니다.2022년 이후까지 API 악용 추세를 극복하고자 하는 모든 조직에게는 이러한 교육의 일부로 API 보안을 포함하는 것이 매우 중요할 것입니다.

그렇긴 하지만 API 보안 측면에서 지금 바로 구현할 수 있는 몇 가지 정말 좋은 모범 사례가 있습니다.

첫 번째는 모든 API에 엄격한 ID 제어를 포함하는 것입니다.권한을 할당할 때는 이들을 거의 인간 사용자와 비슷하게 생각해야 합니다.API는 특정 기능만 수행하도록 설계되었으므로 공격자가 API를 침해할 경우 어떤 일이 발생할 수 있는지 생각해 보아야 합니다.역할 기반 액세스 제어를 사용해 보세요.궁극적으로는 API와 사용자에게 제로 트러스트 원칙을 적용하는 것이 가장 좋지만, 이는 긴 여정인 경우가 많습니다.올바른 ID 관리부터 시작하는 것이 좋습니다.해당 프로그램에 API를 포함시키기만 하면 됩니다.

또한 API가 수행하는 다양한 호출을 최대한 엄격하게 제어해야 합니다.이러한 호출을 매우 컨텍스트 중심적인 요청으로 제한하면 공격자가 악의적인 목적으로 요청을 수정하기가 훨씬 더 어려워집니다.초기 API가 무엇을 찾고 무엇을 무시해야 하는지 정확히 알고 있는 다른 API를 고도로 상황에 맞게 호출하여 API를 계층화할 수도 있습니다.이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 해당 위협 행위자가 이용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.

API에 대한 위협은 확실히 압도적으로 보일 수 있습니다.하지만 모범 사례를 구현하는 동시에 보안 챔피언이 된 개발자를 지원하고 보상하면 상황이 훨씬 덜 절망적으로 느껴질 수 있습니다.충분한 교육과 연습만 있으면 작지만 필수적인 API 도구 중 하나를 손상시키더라도 공격자가 기동할 여지를 거의 주지 않는 강력한 보안 프로그램을 만들 수 있습니다.