星空外围权威网站

在保护 API 资产免受攻击威胁时，AppSec 团队面临着各种各样的挑战。在最近的网络研讨会上，Burp Suite 展示列企业版中增强的 API 扫描功能，并要求与会者描述他们最大的 API 安全痛点。

这些痛点来自各个行业和角色的AppSec 和渗透测试专业人士。在本博客中，我们将分享这些挑战 - 以及您可以采取哪些措施来解决它们。

Burp Suite 是一款领先的Web应用程序安全测试工具。它被广泛用于识别和修复Web应用程序中的漏洞。

Burp Suite 最新版下载

AppSec 团队面临的最大 API 安全挑战是什么？

缺乏对 API 攻击面的可见性

AppSec 专业人员因缺乏 API 可见性而面临诸多痛苦 - 其中一个常见的挑战是 API 端点的可发现性。

缺乏对他们拥有的 API 的全面了解（因此需要测试）——当试图保护 API 免受各种不断变化的威胁时，无法做到精准预见。

如何解决这些挑战？

• 对于缺乏 API 资产可见性的团队，Burp Suite 企业版可以检测 API 流量并作为标准扫描的一部分自动审核它。
• Burp Suite 企业版还能够识别您可能托管的任何可供攻击者访问的 API。
• 这些功能有助于减少对 API 攻击面缺乏可见性的担忧。

API 测试的自动化和扩展

另一个重大挑战是自动化测试的能力，因为许多组织仍然依赖手动测试。这引发了对可扩展性的担忧——19.5% 的 AppSec 专业人士已经管理着超过 500 个 API 的资产。

随着这个数字不断增长，自动化在 API 安全中变得越来越重要。

如何解决这些挑战？

• Burp Suite 企业版旨在自动化您的扫描，让您可以随时检查结果。
• 您可以选择特定于 API 的扫描来自行扫描您的 API，或者将其作为常规扫描的一部分进行扫描。
• 这是通过提供现有 URL 或将 OpenAPI（OAS）定义文件直接上传到 Burp Suite Enterprise Edition 来完成的。
• 这些仅针对 API 的扫描可以自动化，从而实现更快、可扩展的 API 扫描。

一致的流程和合规性

除了 API 安全性方面的技术挑战之外，维护高效的流程以及对所做更改的一致记录也成为一个重大挑战。

许多 AppSec 经理指出，他们的DevSecOps不够成熟，导致工作效率低下。此外，安全团队和开发团队之间的协作也存在挑战，这对维护 API 产生了影响。

如何解决这些挑战？

• CI 驱动的扫描可以为您的 SDLC 创建标准化程序，从而实现 API 开发和管理的一致性。
• Burp Suite 企业版还通过将开发流程的结果传输到工具中来增强开发人员和 AppSec 团队之间的协作。
• 最后，使用 Burp Suite Enterprise Edition 等 DAST 扫描器有助于确保遵守许多相关法规，例如 FedRAMP。

知识和技能差距

最大的主题之一是对组织内部技能和知识差距的担忧。许多人指出，他们在了解如何配置端点以及与新员工和项目团队共享知识方面面临挑战。

他们还担心团队是否拥有合适的技能，以及如何跟上 API 安全变化的频率。

如何解决这些挑战？

• 虽然软件无法填补知识空白，但 Burp Suite 企业版为其发现的 API 漏洞提供了补救建议。
• 该平台还链接到学习材料和其他资源，帮助您的团队学习如何修复和手动检测这些漏洞。
• 利用自动扫描还可以帮助您的团队节省时间，这些时间可以重新投入到培训、技能提升和知识共享中。

当前测试和工具的局限性

 除了团队内部的知识差距之外，一些 AppSec 经理还指出了他们当前的测试和工具面临的许多限制。

这包括经过身份验证的扫描的挑战、所使用的有效载荷的质量以及无法深入测试 API。

人们普遍认为，许多可用的工具不足以有效地扫描 API 中是否存在漏洞，因为 API 参数的复杂性意味着大多数 DAST 工具无法模拟它们。

如何解决这些挑战？

• 虽然 API 扫描功能已经在 Burp Suite 企业版中存在一段时间了，但您现在可以直接上传 OpenAPI 定义文件。
• 进一步的更新将允许支持 SOAP API，从而增强扫描仪处理更广泛定义的能力。
• 扫描独立 API 时，您可以向 Burp Suite Enterprise Edition 提供验证自身所需的凭据，从而允许您自动扫描需要验证的 API。

进行测试的资源和时间

最后，许多 AppSec 和渗透测试团队都面临着时间和资源不足的问题，无法进行有效保护 API 所需的测试。这意味着测试缺乏细节，问题补救速度缓慢。

如何解决这些挑战？

• 如上所述，自动化和安排 API 扫描可以帮助您节省时间。
• 以这种方式使用 Burp Suite 企业版可以帮助您获得容易实现的目标，这意味着您的渗透测试人员可以将时间花在其他地方。

这些关键痛点说明了 AppSec 团队面临的挑战 - 不仅是现在，也是未来。当团队努力应对保护当前 API 资产时，随着规模的增长，扩展方面的挑战将变得难以想象。

自动化 DAST 扫描是减轻这一负担、节省短期时间并实现扩展所需的流程和成熟度的重要工具。

如果您有任何问题需了解详情，请联系