API 보안 : 임무가 불가능합니까?

게시일: 2022년 6월 6일
작성자: 피터 댄히외
사례 연구

API 보안 : 임무가 불가능합니까?

게시일: 2022년 6월 6일
작성자: 피터 댄히외
리소스 보기
리소스 보기

사이버 공격은 의심의 여지없이 증가하고 있습니다. Verizon 2021 데이터 유출 조사 보고서에 따르면 오늘날 위협 환경은 그 어느 때보 다 위험 합니다. 모든 규모의 조직은 더 많은 양의 공격과 이를 표적으로 삼는 위협 행위자로부터 더 정교한 수준을 경험하고 있습니다. 그리고 공격자의 성공률도 급증하고 있습니다.

가장 최근의 공격을 분석하면 사이버 방어에 대한 전례없는 공격 중에 해커가 사용하는 가장 일반적인 취약점과 기술을 파악하는 데 도움이됩니다. 2021년 OWASP(Open Web Application Security Project)의 상위 10대 보안 위험 및 취약성을 만든 공격과 같이 가장 널리 사용되는 공격 중 일부는 자격 증명을 훔치거나 손상시키는 것과 관련이 있습니다. Akamai가 실시한 보안 조사에 따르면 , 압도적 다수인 75%가 API가 보유한 자격 증명을 직접 목표로 삼았습니다.

API의 부상과 가능한 파멸

대부분 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 거의 모든 조직의 네트워크 내에서 증가하고 있다는 것은 놀라운 일이 아닙니다. 이는 대부분의 클라우드 기반 서비스의 중요한 구성 요소로, 대부분의 회사, 조직 및 정부 기관에서 온프레미스 자산의 기능을 빠르게 인계받고 있습니다. 요즘에는 클라우드 없이는 어떤 종류의 비즈니스 나 작업도 거의 실행할 수 없으며, 특히 공개적인 업무는 거의 없습니다. 즉, API는 확실히 모든 네트워크에서 꽤 많은 서비스를 함께 보유하는 접착제가 될 것입니다.

API의 놀라운 점은 네트워크 리소스 할당 측면에서 대부분 작고 눈에 거슬리지 않는다는 것입니다. 그리고 그들은 거의 모든 일을 수행 할 수 있도록 완전히 유연합니다. API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다. 호스트 운영 체제, 응용 프로그램 또는 서비스의 데이터 액세스와 같은 매우 구체적인 기능을 수행하는 데 사용할 수 있습니다.

불행히도, 이것은 매우 동일한 유연성이며, 종종 작고 보안 팀에서 간과한다는 사실로 인해 API가 매력적인 대상이됩니다. 대부분의 API는 개발자가 완벽한 유연성을 제공하도록 설계되어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다. 그리고 몇 가지 표준이 있습니다. 눈송이와 거의 마찬가지로 많은 API는 특정 네트워크의 단일 프로그램으로 특정 기능을 제공하도록 생성된다는 점에서 독특합니다. 보안을 잘 알지 못하거나 보안에 특별히 집중하지 않는 개발자가 코딩한 경우 공격자가 찾아서 악용할 수 있는 여러 가지 취약점 이 있을 수 있습니다.

슬프게도, 문제는 빨리 손에서 벗어나고 있습니다. Gartner에 따르면 2022년까지 API와 관련된 취약점은 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.

공격자가 API를 손상시키려는 주된 이유는 API가 수행하는 특정 기능을 인수할 수 있기 때문이 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다. API의 가장 큰 문제점 중 하나는 취약점에 익숙할 뿐만 아니라 핵심 기능과 관련하여 종종 과도한 권한이 부여된다는 것입니다. 단순화를 위해 대부분의 API는 네트워크에서 거의 관리자 수준의 액세스 권한을 갖습니다. 공격자가 하나를 제어할 수 있는 경우 공격자가 해당 권한을 사용하여 네트워크에 더 깊고 실질적인 침입을 시작할 수 있습니다. 또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 API가 모든 영역 VIP 백스테이지 패스 덕분에 규칙을 위반하지 않기 때문에 해당 작업은 기존 사이버 보안 모니터링을 우회하는 경우가 많습니다.

조직이 조심하지 않으면 네트워크 및 클라우드 내에서 API가 증가하여 공격자의 표적이되는 경우에도 큰 문제가 발생할 수 있습니다.

API 방어

API의 상황이 위험해지는 만큼 절망적이지는 않습니다. DevSecOps와 같은 움직임을 통해 개발자가 보안을 더 잘 인식하도록 돕고 개발에서 테스트 및 배포에 이르기까지 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 도입하려는 노력이 많이 있습니다. 이 교육의 일부로 API 보안을 포함시키는 것은 2022년 이후까지 API 악용 추세를 극복하려는 모든 조직에 매우 중요합니다.

즉, API 보안 측면에서 지금 당장 구현할 수있는 몇 가지 좋은 모범 사례가 있습니다.

첫 번째는 모든 API에 대해 엄격한 ID 제어를 포함하는 것입니다. 사용 권한을 할당 할 때 거의 인간 사용자와 같다고 생각해야합니다. API는 특정 기능만 수행하도록 설계되었기 때문에 공격자가 API를 손상시킬 수 있는 경우 발생할 수 있는 상황에 대해 생각해야 합니다. 역할 기반 액세스 제어 사용을 고려하십시오. 이상적으로는 궁극적으로 API와 사용자에게 제로 트러스트 원칙을 적용해야하지만 이는 종종 먼 길입니다. 좋은 ID 관리는 시작하기에 좋은 곳입니다. 해당 프로그램의 일부로 API를 포함시켜야합니다.

또한 API에서 수행하는 다양한 호출을 가능한 한 엄격하게 제어해야 합니다. 이러한 호출을 매우 컨텍스트 중심의 요청으로 제한하면 공격자가 악의적 인 목적으로 수정하기가 훨씬 더 어려워집니다. 초기 API가 무엇을 찾아야하는지, 무엇을 무시해야 하는지를 정확히 알고 있는 다른 API에 대해 매우 상황에 맞는 호출을 수행하여 API를 계층화할 수도 있습니다. 이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 위협 행위자가 사용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.

API에 대해 평준화되는 위협은 확실히 압도적 인 것처럼 보일 수 있습니다. 그러나 보안 챔피언이 된 개발자를 지원하고 보람있게 만드는 모범 사례를 구현함으로써 상황은 훨씬 덜 절망적 인 것처럼 보일 수 있습니다. 좋은 훈련과 실습을 통해 공격자가 작지만 필수적인 API 작업마 중 하나를 어떻게 든 손상시켜야하더라도 공격자가 기동 할 여지가 거의 없도록 강력한 보안 프로그램을 수립 할 수 있습니다.

리소스 보기
리소스 보기

저자

피터 다뉴

피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.

더 알고 싶으신가요?

블로그에서 최신 보안 코딩 인사이트에 대해 자세히 알아보세요.

Atlassian의 광범위한 리소스 라이브러리는 안전한 코딩 숙련도를 확보하기 위한 인적 접근 방식을 강화하는 것을 목표로 합니다.

블로그 보기
더 알고 싶으신가요?

개발자 중심 보안에 대한 최신 연구 보기

광범위한 리소스 라이브러리에는 개발자 중심의 보안 코딩을 시작하는 데 도움이 되는 백서부터 웨비나까지 유용한 리소스가 가득합니다. 지금 살펴보세요.

리소스 허브

API 보안 : 임무가 불가능합니까?

게시일: 2022년 6월 6일
By 피터 댄히외

사이버 공격은 의심의 여지없이 증가하고 있습니다. Verizon 2021 데이터 유출 조사 보고서에 따르면 오늘날 위협 환경은 그 어느 때보 다 위험 합니다. 모든 규모의 조직은 더 많은 양의 공격과 이를 표적으로 삼는 위협 행위자로부터 더 정교한 수준을 경험하고 있습니다. 그리고 공격자의 성공률도 급증하고 있습니다.

가장 최근의 공격을 분석하면 사이버 방어에 대한 전례없는 공격 중에 해커가 사용하는 가장 일반적인 취약점과 기술을 파악하는 데 도움이됩니다. 2021년 OWASP(Open Web Application Security Project)의 상위 10대 보안 위험 및 취약성을 만든 공격과 같이 가장 널리 사용되는 공격 중 일부는 자격 증명을 훔치거나 손상시키는 것과 관련이 있습니다. Akamai가 실시한 보안 조사에 따르면 , 압도적 다수인 75%가 API가 보유한 자격 증명을 직접 목표로 삼았습니다.

API의 부상과 가능한 파멸

대부분 API라고 불리는 애플리케이션 프로그래밍 인터페이스가 거의 모든 조직의 네트워크 내에서 증가하고 있다는 것은 놀라운 일이 아닙니다. 이는 대부분의 클라우드 기반 서비스의 중요한 구성 요소로, 대부분의 회사, 조직 및 정부 기관에서 온프레미스 자산의 기능을 빠르게 인계받고 있습니다. 요즘에는 클라우드 없이는 어떤 종류의 비즈니스 나 작업도 거의 실행할 수 없으며, 특히 공개적인 업무는 거의 없습니다. 즉, API는 확실히 모든 네트워크에서 꽤 많은 서비스를 함께 보유하는 접착제가 될 것입니다.

API의 놀라운 점은 네트워크 리소스 할당 측면에서 대부분 작고 눈에 거슬리지 않는다는 것입니다. 그리고 그들은 거의 모든 일을 수행 할 수 있도록 완전히 유연합니다. API의 핵심은 특정 프로그램을 제어하거나 관리하도록 맞춤화된 개별 소프트웨어입니다. 호스트 운영 체제, 응용 프로그램 또는 서비스의 데이터 액세스와 같은 매우 구체적인 기능을 수행하는 데 사용할 수 있습니다.

불행히도, 이것은 매우 동일한 유연성이며, 종종 작고 보안 팀에서 간과한다는 사실로 인해 API가 매력적인 대상이됩니다. 대부분의 API는 개발자가 완벽한 유연성을 제공하도록 설계되어 관리 중인 핵심 프로그램이 수정되거나 변경되더라도 계속 작동할 수 있습니다. 그리고 몇 가지 표준이 있습니다. 눈송이와 거의 마찬가지로 많은 API는 특정 네트워크의 단일 프로그램으로 특정 기능을 제공하도록 생성된다는 점에서 독특합니다. 보안을 잘 알지 못하거나 보안에 특별히 집중하지 않는 개발자가 코딩한 경우 공격자가 찾아서 악용할 수 있는 여러 가지 취약점 이 있을 수 있습니다.

슬프게도, 문제는 빨리 손에서 벗어나고 있습니다. Gartner에 따르면 2022년까지 API와 관련된 취약점은 모든 사이버 보안 범주에서 가장 빈번한 공격 벡터가 될 것입니다.

공격자가 API를 손상시키려는 주된 이유는 API가 수행하는 특정 기능을 인수할 수 있기 때문이 아니라 API와 관련된 자격 증명을 훔치기 위해서입니다. API의 가장 큰 문제점 중 하나는 취약점에 익숙할 뿐만 아니라 핵심 기능과 관련하여 종종 과도한 권한이 부여된다는 것입니다. 단순화를 위해 대부분의 API는 네트워크에서 거의 관리자 수준의 액세스 권한을 갖습니다. 공격자가 하나를 제어할 수 있는 경우 공격자가 해당 권한을 사용하여 네트워크에 더 깊고 실질적인 침입을 시작할 수 있습니다. 또한 API에는 공격자가 리디렉션하는 모든 작업을 수행할 수 있는 권한이 있기 때문에 API가 모든 영역 VIP 백스테이지 패스 덕분에 규칙을 위반하지 않기 때문에 해당 작업은 기존 사이버 보안 모니터링을 우회하는 경우가 많습니다.

조직이 조심하지 않으면 네트워크 및 클라우드 내에서 API가 증가하여 공격자의 표적이되는 경우에도 큰 문제가 발생할 수 있습니다.

API 방어

API의 상황이 위험해지는 만큼 절망적이지는 않습니다. DevSecOps와 같은 움직임을 통해 개발자가 보안을 더 잘 인식하도록 돕고 개발에서 테스트 및 배포에 이르기까지 소프트웨어 생성의 모든 측면에 보안 및 모범 사례를 도입하려는 노력이 많이 있습니다. 이 교육의 일부로 API 보안을 포함시키는 것은 2022년 이후까지 API 악용 추세를 극복하려는 모든 조직에 매우 중요합니다.

즉, API 보안 측면에서 지금 당장 구현할 수있는 몇 가지 좋은 모범 사례가 있습니다.

첫 번째는 모든 API에 대해 엄격한 ID 제어를 포함하는 것입니다. 사용 권한을 할당 할 때 거의 인간 사용자와 같다고 생각해야합니다. API는 특정 기능만 수행하도록 설계되었기 때문에 공격자가 API를 손상시킬 수 있는 경우 발생할 수 있는 상황에 대해 생각해야 합니다. 역할 기반 액세스 제어 사용을 고려하십시오. 이상적으로는 궁극적으로 API와 사용자에게 제로 트러스트 원칙을 적용해야하지만 이는 종종 먼 길입니다. 좋은 ID 관리는 시작하기에 좋은 곳입니다. 해당 프로그램의 일부로 API를 포함시켜야합니다.

또한 API에서 수행하는 다양한 호출을 가능한 한 엄격하게 제어해야 합니다. 이러한 호출을 매우 컨텍스트 중심의 요청으로 제한하면 공격자가 악의적 인 목적으로 수정하기가 훨씬 더 어려워집니다. 초기 API가 무엇을 찾아야하는지, 무엇을 무시해야 하는지를 정확히 알고 있는 다른 API에 대해 매우 상황에 맞는 호출을 수행하여 API를 계층화할 수도 있습니다. 이는 위협 행위자가 해당 체인 내에서 API를 악용하고 손상시킬 수 있는 경우에도 위협 행위자가 사용할 수 있는 기능을 제한하는 효과적인 방법이 될 수 있습니다.

API에 대해 평준화되는 위협은 확실히 압도적 인 것처럼 보일 수 있습니다. 그러나 보안 챔피언이 된 개발자를 지원하고 보람있게 만드는 모범 사례를 구현함으로써 상황은 훨씬 덜 절망적 인 것처럼 보일 수 있습니다. 좋은 훈련과 실습을 통해 공격자가 작지만 필수적인 API 작업마 중 하나를 어떻게 든 손상시켜야하더라도 공격자가 기동 할 여지가 거의 없도록 강력한 보안 프로그램을 수립 할 수 있습니다.

우리는 당신에게 우리의 제품 및 / 또는 관련 보안 코딩 주제에 대한 정보를 보낼 수있는 귀하의 허가를 바랍니다. 우리는 항상 최대한의주의를 기울여 귀하의 개인 정보를 취급 할 것이며 마케팅 목적으로 다른 회사에 판매하지 않을 것입니다.

양식을 제출하려면 '분석' 쿠키를 활성화하세요. 완료되면 언제든지 다시 비활성화할 수 있습니다.