在保護 API 資產免受攻擊威脅時，AppSec 團隊面臨著各種各樣的挑戰。在最近的網絡研討會上，Burp Suite 展示列企業版中增強的 API 掃描功能，并要求與會者描述他們最大的 API 安全痛點。

這些痛點來自各個行業和角色的AppSec 和滲透測試專業人士。在本博客中，我們將分享這些挑戰 - 以及您可以采取哪些措施來解決它們。

Burp Suite 是一款領先的Web應用程序安全測試工具。它被廣泛用于識別和修復Web應用程序中的漏洞。

Burp Suite 最新版下載

AppSec 團隊面臨的最大 API 安全挑戰是什么？

缺乏對 API 攻擊面的可見性

AppSec 專業人員因缺乏 API 可見性而面臨諸多痛苦 - 其中一個常見的挑戰是 API 端點的可發現性。

缺乏對他們擁有的 API 的全面了解（因此需要測試）——當試圖保護 API 免受各種不斷變化的威脅時，無法做到精準預見。

如何解決這些挑戰？

• 對于缺乏 API 資產可見性的團隊，Burp Suite 企業版可以檢測 API 流量并作為標準掃描的一部分自動審核它。
• Burp Suite 企業版還能夠識別您可能托管的任何可供攻擊者訪問的 API。
• 這些功能有助于減少對 API 攻擊面缺乏可見性的擔憂。

API 測試的自動化和擴展

另一個重大挑戰是自動化測試的能力，因為許多組織仍然依賴手動測試。這引發了對可擴展性的擔憂——19.5% 的 AppSec 專業人士已經管理著超過 500 個 API 的資產。

隨著這個數字不斷增長，自動化在 API 安全中變得越來越重要。

如何解決這些挑戰？

• Burp Suite 企業版旨在自動化您的掃描，讓您可以隨時檢查結果。
• 您可以選擇特定于 API 的掃描來自行掃描您的 API，或者將其作為常規掃描的一部分進行掃描。
• 這是通過提供現有 URL 或將 OpenAPI（OAS）定義文件直接上傳到 Burp Suite Enterprise Edition 來完成的。
• 這些僅針對 API 的掃描可以自動化，從而實現更快、可擴展的 API 掃描。

一致的流程和合規性

除了 API 安全性方面的技術挑戰之外，維護高效的流程以及對所做更改的一致記錄也成為一個重大挑戰。

許多 AppSec 經理指出，他們的DevSecOps不夠成熟，導致工作效率低下。此外，安全團隊和開發團隊之間的協作也存在挑戰，這對維護 API 產生了影響。

如何解決這些挑戰？

• CI 驅動的掃描可以為您的 SDLC 創建標準化程序，從而實現 API 開發和管理的一致性。
• Burp Suite 企業版還通過將開發流程的結果傳輸到工具中來增強開發人員和 AppSec 團隊之間的協作。
• 最后，使用 Burp Suite Enterprise Edition 等 DAST 掃描器有助于確保遵守許多相關法規，例如 FedRAMP。

知識和技能差距

最大的主題之一是對組織內部技能和知識差距的擔憂。許多人指出，他們在了解如何配置端點以及與新員工和項目團隊共享知識方面面臨挑戰。

他們還擔心團隊是否擁有合適的技能，以及如何跟上 API 安全變化的頻率。

如何解決這些挑戰？

• 雖然軟件無法填補知識空白，但 Burp Suite 企業版為其發現的 API 漏洞提供了補救建議。
• 該平臺還鏈接到學習材料和其他資源，幫助您的團隊學習如何修復和手動檢測這些漏洞。
• 利用自動掃描還可以幫助您的團隊節省時間，這些時間可以重新投入到培訓、技能提升和知識共享中。

當前測試和工具的局限性

除了團隊內部的知識差距之外，一些 AppSec 經理還指出了他們當前的測試和工具面臨的許多限制。

這包括經過身份驗證的掃描的挑戰、所使用的有效載荷的質量以及無法深入測試 API。

人們普遍認為，許多可用的工具不足以有效地掃描 API 中是否存在漏洞，因為 API 參數的復雜性意味著大多數 DAST 工具無法模擬它們。

如何解決這些挑戰？

• 雖然 API 掃描功能已經在 Burp Suite 企業版中存在一段時間了，但您現在可以直接上傳 OpenAPI 定義文件。
• 進一步的更新將允許支持 SOAP API，從而增強掃描儀處理更廣泛定義的能力。
• 掃描獨立 API 時，您可以向 Burp Suite Enterprise Edition 提供驗證自身所需的憑據，從而允許您自動掃描需要驗證的 API。

進行測試的資源和時間

最后，許多 AppSec 和滲透測試團隊都面臨著時間和資源不足的問題，無法進行有效保護 API 所需的測試。這意味著測試缺乏細節，問題補救速度緩慢。

如何解決這些挑戰？

• 如上所述，自動化和安排 API 掃描可以幫助您節省時間。
• 以這種方式使用 Burp Suite 企業版可以幫助您獲得容易實現的目標，這意味著您的滲透測試人員可以將時間花在其他地方。

這些關鍵痛點說明了 AppSec 團隊面臨的挑戰 - 不僅是現在，也是未來。當團隊努力應對保護當前 API 資產時，隨著規模的增長，擴展方面的挑戰將變得難以想象。

自動化 DAST 掃描是減輕這一負擔、節省短期時間并實現擴展所需的流程和成熟度的重要工具。

如果您有任何問題需了解詳情，請聯系