전사적 API 인벤토리 확보

효과적인 API 보안 전략을 위해서는 기업 전반의 모든 API에 대한 포괄적이고 지속적으로 업데이트되는 인벤토리를 유지하는 것이 중요합니다. API 공격과 관련된 리스크의 심각성 때문에 온디맨드 또는 일일 검색만으로는 충분하지 않습니다. 또한 보안, 개발, 운영의 주요 팀원들이 API가 어떻게 사용되거나 오용되는지 이해하기 위해서는 실제 API 행동(API 호출)을 시각화하는 것이 필요합니다. 이를 통해 기업 내 팀 사이 소통과 조사가 용이해집니다. 

API Security는 다양한 기술과 인프라 전반에서 API를 자동으로 지속적으로 검색할 수 있는 기능을 제공합니다. 또한 새로 배포된 API를 식별하고 해당 속성을 기존 문서와 비교합니다. API Security는 자주 놓치는 섀도 API와 OWASP 10대 API 보안 리스크와 같이 알려진 API 취약점을 탐지합니다. 

API 검색은 지속적인 프로세스이며, 지속적인 모니터링을 통해 24시간 내내 새로운 API와 기존 API의 변경 사항을 찾아냅니다. 보안 팀은 깊이 있는 정보를 얻고 개발자가 새로운 API나 서비스를 배포할 때 가장 먼저 알 수 있습니다.

API 리스크 체계 이해

API는 기업이 출시하는 모든 디지털 제품과 서비스의 원동력입니다. 따라서 API의 범위와 규모가 커지고 있는 것은 놀라운 일이 아닙니다. 그러나 이러한 확산은 공격 표면을 재설정하는 API의 확산으로 이어집니다.

오늘날의 공격자들은 소프트웨어 버그나 설정 오류를 포함한 API 취약점을 찾아 다음과 같은 목적에 악용합니다.

• 민감한 애플리케이션 기능에 대한 접속 권한 확보
• 민감한 데이터 검색, 손상 또는 탈취
• 악의적인 방법으로 API 오용

OWASP 10대 API 보안 리스크 는 기업이 식별하고 해결해야 하는 가장 일반적으로 악용되는 API 취약점과 위협에 관한 유용한 요약 정보를 제공합니다.

API 보안을 사용하면 보안, 개발자 및 API 팀에 잠재적 리스크, 설정 오류 및 취약점을 즉시 알림으로써 취약하고 잘못 설정된 API로 인해 기업이 API 공격에 노출되는 것을 방지할 수 있습니다. 또한 파트너가 API를 잘못 설정했는지 또는 코드에 취약점이 있는지 쉽게 확인할 수 있습니다. 

맥락 및 조건부 알림은 Jira 티켓을 자동으로 만드는 등 기존 워크플로우 내에서 원활하게 작동하므로 문제를 신속하게 해결할 수 있습니다.

API 남용 모니터링

API는 프로그래밍 방식으로 사용하도록 설계되었기 때문에 정상적인 사용과 공격 및 악용을 구분하기가 매우 어렵습니다.

API 공격 방법은 다양하지만, 가장 일반적인 접근 방식은 다음과 같습니다.

• 비즈니스 로직 남용. 비즈니스 로직 공격은 애플리케이션 설계 또는 구축의 결함을 악용해 공격자에게 이익이 되는 예상치 못한 비승인 동작을 유발합니다. 
• 무단 데이터 접속. 이 일반적인 공격 방법은 제한된 데이터에 접속하기 위해 손상된 인증 및 권한 확인 메커니즘을 악용합니다. 
• 계정 탈취. 계정 탈취는 인증정보 도용 또는 크로스 사이트 스크립팅 공격을 통해 정상 사용자인 것처럼 가장함으로써 API를 악용합니다. 
• 데이터 스크레이핑. 공격자는 공개적으로 이용 가능한 리소스를 공격적으로 쿼리해 대규모의 가치 있는 데이터 세트를 대량으로 수집할 수 있습니다.
• 비즈니스 서비스 거부(DoS). 제한되지 않은 API 호출은 애플리케이션 레이어에서 '서비스 침식' 또는 완전한 서비스 거부를 유발할 수 있습니다. 

이러한 리스크와 그 밖의 잠재적인 API 보안 리스크를 탐지하고 예방하기 위해서는 광범위한 애플리케이션 보안 전략의 일환으로 전용 API 보안 솔루션에서 제공되는 최신 제어 기능을 사용해야 합니다.