16 способов повысить безопасность API

 16 способов повысить безопасность API

1. Аутентификация 🕵️‍♀️ - проверяем, что это именно тот пользователь получил доступ к API.

2. Авторизация 🚦 - даем доступы после аутентификации.

3. Уменьшаем число данных 🖍 - не надо хранить все чувствительные данные в одной базе.

4. Шифруем 🔒 - пусть только те, кто знает ключ могут понять данные.

5. Осторожно выводим ошибочные сообщения ❌ - Когда выводим сообщение об ошибках, не выводим слишком много важной информации.

6. Проверяем входные данные & подчищаем ошибки 🧹 - Входные данные разрешаем только нужного нам вида.

7. Intrusion Detection Systems 👀 - В сетевом трафике проверяем подозрительную активность.

8. IP Whitelisting 📝 - Разрешить подключаться к API только с доверенных адресов.

9. Журналирование и мониторинг 🖥 - Храним детальные журналы API и даже смотрим в них постоянно.

10. Rate Limiting ⏱ - Ограничиваем число запросов от пользователей для предотвращения перегрузки.

11. Проверяйте подключаемые модули 📦 - Убедитесь что сторонний код без уязвимостей.

12. Security Headers 📋 - Проверяйте атаки на сайт, например, XSS.

13. Временные токены ⏳ - Выдача токенов только на время предотовращает несанкционированный доступ.

14. Стандарты безопасности и фреймворки 📘 - Позволяйте себе следовать стратегии по защите API.

15. Web Application Firewall 🔥 - защищает ваш сайт от атак по HTTP.

16. API версии 🔄 - отделяйте различные версии API и прозрачно работайте с ними.

Пирамида Дилтса или как решить проблему на другом уровне, чем она возникла

«Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень» - сказал однажды Альберт Эйнштейн.

А что же это за уровни такие?

А уровни логические. Ключ в том, что мы мыслим на разных уровнях абстракции, причем нижележащие уровни зависят от вышележащих. Поэтому если нам не нравится какой-то логический уровень в себе или в другом человеке, то стоит посмотреть выше - а что там? Очень хорошо эти уровни собрал в пирамиду психолог Роберт Дилтс.

Миссия - Для чего вам это все?
Идентичность - Кто я такой?
Убеждения - Во что я верю?
Способности - Как я принимаю решения?
Поведение - Что я делаю?
Окружение - Что я умею?

Встреча по Security Awareness с Ольгой Лимоновой. Вопросы от Денис Батранкова и слушателей

 

Мы уже давали советы руководителям ИБ о том как бороться с фишингом с Юрием Другач. А 11 августа в 11 утра мы поговорим про security awareness с Ольгой Лимоновой

Подключайтесь!

Во многих компаниях организуют обучение по информационной безопасности. При этом сотрудники часто задаются вопросом: «Зачем нам это нужно? Ведь нас должна защищать служба ИБ?..» Как работать с этим возражением? Как рассказывать сотрудникам про security awareness (про осведомленность в области ИБ)? И как повышать уровень осведомленности?

На вебинаре эксперты обсудят:

1. Что такое Awareness, кому и зачем он нужен?
2. Как ты стала Awareness специалистом?
3. Что делает Awareness специалист? 
4. Что нужно, чтобы стать Awareness специалистом?
5. Что нужно, чтобы быть хорошим и востребованным Awareness специалистом?
6. Какое самое лучшее или эффективное мероприятие/процесс помнишь, что сильнее всего повлияло на результаты аварнесса?
7. Сколько Awareness специалисты зарабатывают?
8. Эффективен ли Awareness и как это понять?
9. Какие главне метрики использовали и почему?
10. Как Awareness реализовывается в компаниях сейчас? Как организовать Awareness правильно?
11. Что лучше: организовать Awareness самим или заказать как услугу у подрядчиков? 
12. Что важнее и полезнее в Awareness - курсы обучения или имитированные фишинговые атаки?
13. Про что чаще всего вы просвещаете людей? Какие сейчас наиболее актуальны темы? Примеры?
14. Что делать, если люди не обучаются и вновь и вновь делают те же ошибки?
15. Какие бывают трудности во время реализации Awareness? Бывают ли конфликты с сотрудниками?
16. Нужно ли наказывать сотрудников за нарушение правил безопасности в компании?
17. Какие у вас были самые интересные или необычные истории из работы в Awareness?
18. Есть ли разница реализации Awareness в российских и зарубежных компаниях?
19. Сколько Awareness специалистов нужно, чтобы защитить компанию?
20. Что важнее: защищать сотрудников или защищать клиентов?
21. Awareness для обычных людей существует? Как просвещать и защищать обычных физических лиц, не являющихся вашими клиентами?
22. Должно ли Государство участвовать в просвещении населения в части Awareness?
24. Какие главные вопросы/проблемы возникают в ИБ со стороны людей? 
25. Как ставят цели перед аварнессом руководители ИБ и бизнеса?
26. Какая главная проблема во всех этих процессах, по твоему опыту?