블로그

API 자세에 대해 물어볼 15가지 질문

척 헤린 썸네일
척 헤린
2024년 11월 1일 게시

오늘 여러분께 공유해드릴 비밀이 있습니다. 저는 지난 20년 동안 6개의 최고정보보안책임자(CISO) 역할을 맡았는데, 침해 사고로 인해 저를 채용한 것은 단 한 번뿐이었습니다. 하나. 

나머지 5명은 이탈이 원인이었거나, 주요 이해관계자들의 신뢰 상실로 인해 현직자가 교체되었습니다. 절반은 신뢰 상실로 인해 교체되었으며, 위반으로 인한 교체는 아닙니다.

CISO가 API 환경을 이해해야 하는 이유

API 보안 분야에서 CISO가 API 노출을 이해해야 할 필요성은 몇 가지 선언적 문장으로 요약할 수 있습니다. 

먼저, 주어진 환경에 대한 위협 모델을 생성하려면 자산, 행위자, 인터페이스, 작업이라는 네 가지 사항을 알아야 합니다. 다시 말해, "누가 무엇을, 무엇을 위해, 무엇을 통해서 하고 있는가?"

둘째, API의 'I'는 '인터페이스'입니다. 애플리케이션 프로그래밍 인터페이스는 다양한 플랫폼, 언어, 프레임워크에서 널리 사용되며, 거의 모든 현대 소프트웨어 개발은 API를 중심으로 이루어집니다. 귀하의 환경에는 API가 있다는 것이 보장됩니다. 

셋째, CISO가 내부적으로든 웹이나 모바일 앱에서든 중요 데이터를 노출하고 제공하는 인터페이스 인벤토리가 없다면 위협 모델이 불완전해지고 서비스와 데이터가 노출되는 사각 지대가 생길 수 있습니다. 

마지막으로, 불완전한 위협 모델은 포괄적인 보안 감독과 주의 의무의 입증이 부족합니다. 이 두 가지는 감사원과 규제 기관이 보장해야 할 중요한 영역입니다. 주어진 환경에서 자산, 행위자, 인터페이스 및 작업이 이해되고 관리되도록 하는 것이 그들의 책임입니다. 

API 보안 노출 평가

F5에서는 고객이 항상 가장 똑똑한 사람이 되기를 바라기 때문에 API 생태계의 현재 상태를 평가하는 데 사용할 수 있는 간단한 질문 목록을 만들었습니다. 지금 이러한 질문에 답하면 나중에 현장 시험이나 외부 감사 중에 질문을 받을 경우 대비할 수 있습니다. 

저는 이러한 질문을 여러 기관의 규제기관 및 검사관과 직접 공유했습니다. 이제 미국은 미국 연방통신위원회는 API 문제에 대해 벌금과 동의 판결을 내리기 시작했으며, 현재 버전의 PCI DSS(Payment Card Industry Data Security Standard) 4.0+에서는 특히 개발 단계에서 API 규정 준수를 요구하므로, 방어자가 이러한 답변을 손쉽게 준비할 수 있는 절호의 기회입니다. 

모든 질문에 답할 수 없더라도 CISO에게는 자신의 입장을 알고 적극적인 자세를 보이는 것이 매우 중요합니다. API 보안 태세를 이해하고 발전시키고 있다는 것을 보여줌으로써, 여러분이 열심히 노력하여 얻은 신뢰를 유지할 수 있습니다. 

가장 쉬운 것부터 가장 어려운 것까지 목록은 다음과 같습니다. 목록에서 원하는 대로 아래로 이동하는 데 어려움이 있다면 F5 계정 팀에 전화하세요. 저희가 도와드리겠습니다.

  1. 우리 회사의 API 보안은 누가 담당하고 있나요?
  2. API에 소유자가 지정되어 있나요?
  3. 우리 매출 중 API를 통해 발생하는 금액은 얼마입니까?
  4. API는 몇 개나 있나요?
  5. 이 중에서 실제로 사용되는 것은 몇 개이고, 사용되지 않는 것은 몇 개입니까?
  6. 가장 흔한 10가지 API 문제 에 취약한 사람은 몇 명이나 됩니까?
  7. 우리의 침투 테스트가 프로덕션 환경의 API 취약점과 비즈니스 로직에 대한 공격을 적절히 포괄하고 있는가?
  8. 어떤 API가 법적 또는 규정 준수에 따라 데이터를 전송하거나 수신합니까?
  9. 악성 트래픽이 나타나고 있나요? 어떤 API 엔드포인트에서?
  10. 전반적인 API 보안 위험은 무엇입니까? 작년 같은 시기에 비해 개선되었나요, 아니면 악화되었나요?
  11. 다른 개발팀보다 API 문제가 더 많이 발생하는 개발팀이 있습니까? API 보안 문제에 대한 교육과 피드백은 어떻게 제공되나요?
  12. 코드와 API 변경 사항이 프로덕션에 적용되기 전에 검토 프로세스가 있습니까?
  13. API에서 감지된 보안 이벤트에 대한 알림은 누가 받게 됩니까?
  14. 프로덕션 API 중 하나에 대한 BOLA(손상된 개체 수준 권한 부여) 공격이 감지되면 평균 응답 시간은 몇 분입니까?
  15. 마지막으로 목록 맨 위에 있는 기본 사항으로 돌아가서, API 보안을 담당한다고 생각하는 사람들이 자신이 그 보안을 담당하고 있다는 사실을 알고 동의하는가?

보안 자세 강화

API 환경과 API가 초래할 수 있는 잠재적 위협을 평가하는 것은 사각지대를 드러내고 보안 태세를 강화하기 위한 첫 번째 단계입니다.   

API에 대한 모든 것을 알아보려면 이번 주 캘리포니아 산타클라라에서 열리는 API World 에서 F5에 참여하세요. 저는 목요일 오후 1시 PST에 두 명의 동료와 함께 "AI의 세계는 API의 세계입니다"라는 오픈 세션에서 연설할 예정입니다. 최신 앱 중 최신 앱 보안”과 동일한 세션이 11월 14일 목요일 오후 1시에 온라인으로 개최됩니다. 

F5는 또한 가상 세션인 "API CTF: API 보안의 기본을 배우세요", 11월 12일 화요일 오전 9시. 

API World에 가지 않으시겠어요? API 보안 데모를 확인해 보세요.