针对3种特定用例调整您的第三方API安全策略

数据泄露方面存在较高风险，其破坏性可能远超传统攻击媒介。Gartner的报告指出，第三方API引入了独特且复杂的安全挑战，需要采用专门的风险管理策略来应对。

什么是API安全治理？

API安全治理是指安全团队在API生态系统中定义并实施安全策略，以确保API符合组织的安全政策和监管要求。这种自上而下的强制执行方式对第三方API尤其重要。

由于第三方API的动态变化，传统的点对点快照监控难以满足需求，持续监控显得尤为关键。每次API版本更新都可能引发数据暴露、法规违规或公司政策冲突。甚至第三方可能在无意中违反了自身义务或隐私规定。因此，监管机构正逐步要求企业提供持续监控的证据。

监控第三方敏感数据流的重要性

在第三方API集成中，敏感数据（如个人身份信息PII）经常被传输到外部供应商。监控和管理这些数据流对防止数据泄露和未经授权的访问至关重要。确保敏感数据在传输过程中得到保护，是降低安全风险的关键。

Gartner报告：第三方API安全的三个关键用例

Gartner的最新报告中，针对第三方API安全提出了三个主要用例：

1. 出站数据流
2. 入站数据消耗
3. SaaS-to-SaaS API互连

用例1：出站数据流——保护敏感信息

出站数据流是指将数据传输到第三方API，例如支付处理或客户信息共享。这种场景下，若连接不安全，敏感数据可能被泄露。

根据OWASP API安全前十名中的第9项“不当库存管理”，缺乏对敏感数据流的全面盘点会导致“数据流盲点”，从而阻碍事件响应。以下情况可能导致数据流盲点：

• 未监控的敏感数据流被共享至第三方；
• 数据流无商业理由或未经批准；
• 缺乏对数据流的可见性；
• 无法详细了解共享的敏感数据类型。

降低风险的建议：

• 数据丢失防护（DLP）： 监控传出数据，检测潜在泄漏。
• 传输安全： 确保数据在传输过程中的安全性。

Vorlon的解决方案：
Vorlon通过对每个数据传输进行编目和监控，确保敏感数据流的合理性和安全性。它还帮助安全团队实施最小权限原则（PoLP），避免过度宽松的数据共享。

需要思考的问题：

• 您是否对所有敏感数据流进行了完整的库存管理？
• 是否清楚每个第三方API共享的敏感数据类型？

用例2：入站数据消耗——阻止恶意有效负载

入站数据消耗指从第三方API接收数据，例如来自SaaS提供商的客户或交易数据。这些数据虽然能提升业务能力，但也可能带来恶意输入的风险。

降低风险的建议：

• 输入验证： 确保数据的真实性。
• 内容检查： 检测并阻止恶意有效负载。

Vorlon的解决方案：
Vorlon的行为分析引擎会检查所有入站数据流量，识别可疑行为和IP地址，并与VirusTotal等信誉列表进行比对。

需要思考的问题：

• 您是否验证了来自第三方API的所有入站数据？
• 是否具备识别可疑流量的能力？
• 是否能够检查内容并阻止恶意输入？

用例3：SaaS-to-SaaS API互连——管理数据共享风险

SaaS-to-SaaS API互连是指多个SaaS应用程序之间的数据共享。这种连接虽然能简化工作流程，但通常缺乏传统的监督机制，从而增加了数据泄露的风险。

降低风险的建议：

• SaaS安全态势管理（SSPM）： 持续监控SaaS连接。
• 数据治理： 控制互联应用程序之间的数据共享。

Vorlon的解决方案：
Vorlon提供了对所有API互连的可见性，帮助企业监控和管理应用程序之间的数据共享。它还能发现第三方、第四方甚至第五方的互连数据流，确保数据共享符合组织策略。

需要思考的问题：

• 您如何管理SaaS应用程序之间的数据共享？
• 是否有监控和管理这些连接的流程？

使用Vorlon实现主动式第三方API安全

Gartner的研究表明，传统的API安全措施不足以应对第三方API的独特风险。Vorlon通过以下功能为企业提供全面保护：

• 机密管理： 持续监控API机密配置，防止未经授权的访问。
• 动态数据监控： 确保敏感数据在传输过程中的安全性。
• 实时威胁检测： 在威胁危害数据前及时检测并缓解。
• 顶级API治理： 提供管理SaaS-to-SaaS互连所需的全面数据治理。

关键要点：
通过Vorlon，企业可以安全且自信地利用第三方API，同时降低潜在风险。

来源：

Gartner，API保护市场指南，Dionisio Zumerle，Aaron Lord，Esraa ElTahawy，Mark O’Neill，2024年5月29日
Gartner，使您的第三方API安全性适应3个特定使用案例，Dionisio Zumerle，Charlie Winckless，Esraa ElTahawy，2024年11月7日

原文链接: https://blog.vorlonsecurity.com/gartner-third-party-api-security