15 questions à poser sur votre positionnement API
J’ai un secret que je vais partager avec vous aujourd’hui. Parmi la demi-douzaine de postes de responsable de la sécurité des systèmes d’information (CISO) que j’ai occupés au cours des 20 dernières années, un seul m’a recruté en raison d’une violation. Un.
Les cinq autres postes ont été pourvus soit par attrition, soit par remplacement du titulaire en raison d'une perte de confiance de la part des principales parties prenantes. La moitié d'entre eux ont été remplacés en raison d'une perte de confiance, et non d'une rupture.
Pourquoi les RSSI doivent comprendre leur environnement API
Dans le domaine de la sécurité des API, nous pouvons résumer la nécessité pour les RSSI de comprendre leurs expositions aux API en quelques déclarations déclaratives.
Tout d’abord, vous devez connaître quatre choses pour créer un modèle de menace pour un environnement donné : vos actifs, vos acteurs, vos interfaces et vos actions. En d’autres termes, « Qui fait quoi, à quoi, via quoi ? »
Deuxièmement, le « I » dans API signifie « interface ». Les interfaces de programmation application sont largement utilisées sur de nombreuses plates-formes, langages et frameworks, et presque tout le développement de logiciels modernes repose sur l'API. Vous avez des API dans votre environnement, c'est garanti.
Troisièmement, si vous, en tant que RSSI, ne disposez pas d’un inventaire des interfaces qui exposent et diffusent vos données sensibles, que ce soit en interne ou vers vos applications Web et mobiles, vous disposez d’un modèle de menace incomplet et des angles morts correspondants où les services et les données sont exposés.
Enfin, les modèles de menaces incomplets manquent d’une surveillance complète de la sécurité et d’une démonstration de diligence raisonnable, deux domaines essentiels dont les auditeurs et les régulateurs sont chargés de garantir la mise en œuvre. Il est de leur responsabilité de s’assurer que les actifs, les acteurs, les interfaces et les actions dans un environnement donné sont compris et gérés.
Évaluer exposition aux attaques de votre API
Chez F5, nous souhaitons toujours que nos clients soient les personnes les plus intelligentes de la salle, nous avons donc créé une liste rapide de questions que vous pouvez utiliser pour évaluer l’état actuel de votre écosystème API. En répondant à ces questions maintenant, vous serez prêt si on vous les pose plus tard lors d’un examen sur le terrain ou d’un audit externe.
J’ai personnellement partagé ces questions avec les régulateurs et les examinateurs de plusieurs agences. Maintenant que les États-Unis La Commission fédérale des communications a commencé à émettre des amendes et des décrets de consentement spécifiquement pour les problèmes d'API et la version actuelle de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) 4.0+ exige la conformité des API spécifiquement dans le développement, le moment n'a jamais été aussi propice pour que les défenseurs aient ces réponses à portée de main.
Même si vous ne pouvez pas répondre à toutes ces questions, savoir où vous vous situez et faire preuve d’une attitude proactive est d’une importance capitale pour les RSSI. En démontrant que vous maîtrisez la compréhension et l’évolution de votre posture de sécurité des API, vous conserverez la confiance que vous avez travaillé si dur pour gagner.
Voici la liste, du plus simple au plus difficile. Si vous avez du mal à accéder à la liste aussi loin que vous le souhaiteriez, appelez l'équipe de votre compte F5. Nous sommes là pour vous aider.
- À qui appartient la sécurité des API pour notre entreprise ?
- Nos API ont-elles des propriétaires attribués ?
- Quelle part de nos revenus provient des API ?
- Combien d'API avons-nous ?
- Combien d’entre eux sont activement utilisés et combien sont inactifs ?
- Combien de personnes sont vulnérables aux 10 problèmes d’API les plus courants ?
- Nos tests de pénétration couvrent-ils adéquatement les vulnérabilités des API et les attaques sur la logique métier en production ?
- Laquelle de nos API transmet ou reçoit des données soumises à une conformité légale ou réglementaire ?
- Voyons-nous un trafic malveillant ? Sur quels points de terminaison API ?
- Quel est notre risque global en matière de sécurité des API ? La situation s’est-elle améliorée ou aggravée par rapport à la même période l’année dernière ?
- Existe-t-il des équipes de développement qui génèrent plus de problèmes d’API que d’autres ? Comment sont-ils formés et comment reçoivent-ils un retour d'information sur les problèmes de sécurité des API ?
- Existe-t-il un processus de vérification des modifications de code et d’API avant leur mise en production ?
- Qui reçoit des alertes sur les événements de sécurité détectés sur nos API ?
- Quel est le temps de réponse moyen en minutes lorsqu'une attaque par autorisation de niveau objet rompue (BOLA) est détectée contre l'une de nos API de production ?
- Et enfin, revenons aux fondamentaux en haut de la liste : les personnes que nous pensons être responsables de la sécurité des API savent-elles et acceptent-elles d’en être les propriétaires ?
Renforcez votre posture de sécurité
L’évaluation de votre environnement API et de la menace potentielle que représentent les API constitue la première étape pour révéler les angles morts et renforcer votre posture de sécurité.
Rejoignez F5 cette semaine à API World à Santa Clara, en Californie, pour tout savoir sur les API. Je prendrai la parole jeudi à 13 heures (heure du Pacifique) avec deux de mes collègues lors d'une session ouverte intitulée « Un monde d'IA est un monde d'API : « Sécuriser les applications les plus modernes des applications modernes », et cette même session se tiendra virtuellement le jeudi 14 novembre à 13 heures.
F5 accueillera également la session virtuelle « API CTF : « Apprenez les fondamentaux de la sécurité des API », le mardi 12 novembre à 9 h.
Vous n’allez pas à API World ? Découvrez notre démo de sécurité API .