𝐓𝐨𝐩 12 𝐓𝐢𝐩𝐬 𝐟𝐨𝐫 𝐀𝐏𝐈 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲
An API is an instrument that enables two applications to interact. This interaction, if not designed properly can be an easy target for attackers to gain access to the APIs and/or the connected network by different kind of attacks like Man in Middle attack, injection attack, denial of service attacks, broken access control attacks etc. and hence it is very important to design the API securely. Following 12 tips can solve the problem:
- Use HTTPS
- Use OAuth2
- Use WebAuthn
- Use Leveled API Keys
- Authorization
- Rate Limiting
- API Versioning
- Whitelisting
- Check OWASP API Security Risks
- Use API Gateway
- Error Handling
- Input Validation
via ByteByteGo
@OUPNarith
An API is an instrument that enables two applications to interact. This interaction, if not designed properly can be an easy target for attackers to gain access to the APIs and/or the connected network by different kind of attacks like Man in Middle attack, injection attack, denial of service attacks, broken access control attacks etc. and hence it is very important to design the API securely. Following 12 tips can solve the problem:
- Use HTTPS
- Use OAuth2
- Use WebAuthn
- Use Leveled API Keys
- Authorization
- Rate Limiting
- API Versioning
- Whitelisting
- Check OWASP API Security Risks
- Use API Gateway
- Error Handling
- Input Validation
via ByteByteGo
@OUPNarith
❤9👍4
Media is too big
VIEW IN TELEGRAM
(What Makes A Great Leader?)
What Makes A Great Leader? The Professor teaches another valuable lesson in uncovering your full potential. Within us we have all the qualities to step up and make a difference in our lives and in the lives of others. Instead of searching for a leader to follow, step up and lead!
@OUPNarith
What Makes A Great Leader? The Professor teaches another valuable lesson in uncovering your full potential. Within us we have all the qualities to step up and make a difference in our lives and in the lives of others. Instead of searching for a leader to follow, step up and lead!
@OUPNarith
👍6❤1
ការយល់ដឹងឱ្យបានគ្រប់ជ្រុងជ្រោយអំពីការគំរាមគំហែង (Visibility of Cyber Threats)
ការគំរាមគំហែងសាយប័រអាចកើតមានឡើងនៅក្នុងគ្រប់ទម្រង់ ដែលក្នុងនោះអាចមានជាការវាយប្រហារទៅលើបណ្តាញរបស់អ្នក ឬប្រព័ន្ធឌីជីថលដែលអ្នកកំពុងប្រើប្រាស់សព្វថ្ងៃ។ អ្នកវាយប្រហារធ្វើការពីគ្រប់ទីកន្លែង ហើយព្យាយាមក្នុងការជ្រៀតចូលទៅក្នុងបណ្តាញ និងប្រព័ន្ធឌីជីថលរបស់អ្នកតាមមធ្យោបាយសព្វបែបយ៉ាង (ទាំងបច្ចេកទេស និងមិនមែនបច្ចេកទេស) ។
ក្នុងខណៈពេលដែលអ្នកបានឃើញសញ្ញាណនៃការគំរាមគំហែងទាំងនេះនៅក្នុងបណ្តាញរបស់អ្នក នោះអាចមានការយឹតយ៉ាវរួចទៅហើយ។ ដើម្បីបង្ការការខូចខាត អ្នកត្រូវការព័ត៌មានព្រមានជាមុនអំពីការគំរាមគំហែងទាំងនោះ រួមផ្សំជាមួយនឹងព័ត៌មានសម្រាប់ធ្វើការ (actionable) ដើម្បីឱ្យអ្នកអាច៖
ក. ធ្វើការកំណត់អាទិភាពក្នុងការធ្វើ patching ទៅលើប្រព័ន្ធដែលមានហានិភ័យធ្ងន់ធ្ងរបំផុត មុនពេលដែលវាត្រូវបានវាយលុក (exploited)
ខ. ធ្វើការចាប់ឱ្យបាននូវសញ្ញាណនៃការវាយលុកឱ្យបានកាន់តែលឿន ហើយច្បាស់លាស់
គ. យល់អំពី Tactics, Techniques និង Procedures (TTPs) របស់អ្នកវាយប្រហារ ហើយដាក់យន្តការការពារប្រកបដោយប្រសិទ្ធិភាព
ឃ. អាចធ្វើការកំណត់ និងកែតម្រូវទៅលើភាពងាយរងគ្រោះ និងចំនុចខ្សោយនានារបស់ភាគីពាក់ព័ន្ធ (ដៃគូអាជីវកម្ម)
ង. ចាប់ឱ្យបាននូវការជ្រៀបចេញទិន្នន័យ និងការក្លែងបន្លំនានាពាក់ព័ន្ធទៅនឹងអង្គភាពរបស់អ្នក
ច. ធ្វើការវិនិយោគទៅលើប្រព័ន្ធសន្តិសុខសាយប័រប្រកបដោយប្រសិទ្ធិភាព និងទទួលបានលទ្ធផលខ្ពស់
@OUPNarith
ការគំរាមគំហែងសាយប័រអាចកើតមានឡើងនៅក្នុងគ្រប់ទម្រង់ ដែលក្នុងនោះអាចមានជាការវាយប្រហារទៅលើបណ្តាញរបស់អ្នក ឬប្រព័ន្ធឌីជីថលដែលអ្នកកំពុងប្រើប្រាស់សព្វថ្ងៃ។ អ្នកវាយប្រហារធ្វើការពីគ្រប់ទីកន្លែង ហើយព្យាយាមក្នុងការជ្រៀតចូលទៅក្នុងបណ្តាញ និងប្រព័ន្ធឌីជីថលរបស់អ្នកតាមមធ្យោបាយសព្វបែបយ៉ាង (ទាំងបច្ចេកទេស និងមិនមែនបច្ចេកទេស) ។
ក្នុងខណៈពេលដែលអ្នកបានឃើញសញ្ញាណនៃការគំរាមគំហែងទាំងនេះនៅក្នុងបណ្តាញរបស់អ្នក នោះអាចមានការយឹតយ៉ាវរួចទៅហើយ។ ដើម្បីបង្ការការខូចខាត អ្នកត្រូវការព័ត៌មានព្រមានជាមុនអំពីការគំរាមគំហែងទាំងនោះ រួមផ្សំជាមួយនឹងព័ត៌មានសម្រាប់ធ្វើការ (actionable) ដើម្បីឱ្យអ្នកអាច៖
ក. ធ្វើការកំណត់អាទិភាពក្នុងការធ្វើ patching ទៅលើប្រព័ន្ធដែលមានហានិភ័យធ្ងន់ធ្ងរបំផុត មុនពេលដែលវាត្រូវបានវាយលុក (exploited)
ខ. ធ្វើការចាប់ឱ្យបាននូវសញ្ញាណនៃការវាយលុកឱ្យបានកាន់តែលឿន ហើយច្បាស់លាស់
គ. យល់អំពី Tactics, Techniques និង Procedures (TTPs) របស់អ្នកវាយប្រហារ ហើយដាក់យន្តការការពារប្រកបដោយប្រសិទ្ធិភាព
ឃ. អាចធ្វើការកំណត់ និងកែតម្រូវទៅលើភាពងាយរងគ្រោះ និងចំនុចខ្សោយនានារបស់ភាគីពាក់ព័ន្ធ (ដៃគូអាជីវកម្ម)
ង. ចាប់ឱ្យបាននូវការជ្រៀបចេញទិន្នន័យ និងការក្លែងបន្លំនានាពាក់ព័ន្ធទៅនឹងអង្គភាពរបស់អ្នក
ច. ធ្វើការវិនិយោគទៅលើប្រព័ន្ធសន្តិសុខសាយប័រប្រកបដោយប្រសិទ្ធិភាព និងទទួលបានលទ្ធផលខ្ពស់
@OUPNarith
❤8👍3
Today Mandiant had their Twitter account stolen.
2024 starting strong
Google security firm Mandiant working to resolve X account takeover.
1. Mandiant, a Google-owned cybersecurity firm, is investigating a security breach where its Twitter account was used to distribute links to a cryptocurrency platform called Phantom. The account was temporarily deleted, then reinstated with the Mandiant logo and a renamed handle.
2. The incident comes amid increasing worries about the social media platform's ability to preserve the integrity of prominent accounts, with recent cuts in security personnel and increasing marker of spam accounts. A Canadian senator and two researchers have also recently had their accounts hijacked.
3. Phantom's representatives have refrained from commenting. However, their wallet is a well-regarded application readily available on Google and Apple app marketplaces.
https://x.com/vxunderground/status/1742656693379465469?s=46&t=PJ7OM88Bb-gPyBeDaFaGFw
@OUPNarith
2024 starting strong
Google security firm Mandiant working to resolve X account takeover.
1. Mandiant, a Google-owned cybersecurity firm, is investigating a security breach where its Twitter account was used to distribute links to a cryptocurrency platform called Phantom. The account was temporarily deleted, then reinstated with the Mandiant logo and a renamed handle.
2. The incident comes amid increasing worries about the social media platform's ability to preserve the integrity of prominent accounts, with recent cuts in security personnel and increasing marker of spam accounts. A Canadian senator and two researchers have also recently had their accounts hijacked.
3. Phantom's representatives have refrained from commenting. However, their wallet is a well-regarded application readily available on Google and Apple app marketplaces.
https://x.com/vxunderground/status/1742656693379465469?s=46&t=PJ7OM88Bb-gPyBeDaFaGFw
@OUPNarith
❤1
👍4❤2
Intelligence ក្នុងបរិបទសន្តិសុខសាយប័រ (Intelligence in the context of Cybersecurity)
នៅក្នុងន័យសន្តិសុខសាយប័រ យើងត្រូវចែកឱ្យដាច់ពីគ្នារវាង Data, Information និង Intelligence:
ក. Data គឺជាទូទៅគ្រាន់តែជាការចំនុចអង្អុលបង្ហាញមានដូចជា IP addresses, URLs, ឬក៏ hashes ជាដើម។ Data មិនបានផ្តល់អ្វីឱ្យយើងបានច្រើននោះទេ បើសិនជាមិនបានធ្វើការវិភាគឱ្យកាន់តែសុីជម្រៅ
ខ. Information អាចជួយឱ្យយើងឆ្លើយទៅនឹងសំណួរមួយចំនួន មានដូចជា៖ តើមាន IP addresses ចំនួនប៉ុន្មានដែលបានវាយប្រហារមកក្នុងប្រព័ន្ធរបស់យើង? តើមាន URLs ចំនួនប៉ុន្មានដែលបានធ្វើការភ្ជាប់ទៅ? ទោះបីជាព័ត៌មាានទាំងនេះច្បាស់លាស់ជាងទិន្នន័យឆៅ (raw data) ក៏ដោយ ក៏វាមិនបានឆ្លុះបញ្ចាំងឱ្យធ្វើសកម្មភាពណាមួយឡើយ
គ. Intelligence គឺជាការយល់ដឹងមួយ (insight) ដោយផ្អែកទៅលើការវិភាគបានមកពីទិន្នន័យជាច្រើនប្រទាក់ក្រឡាគ្នារវាង data និង information មកពីប្រភពផ្សេងៗគ្នា។ វានឹងផ្តល់ឱ្យយើងនូវព័ត៌មានជាក់លាក់មួយសម្រាប់ធ្វើការសម្រេចចិត្ត និងដាក់ចេញសកម្មភាពប្រកបដោយប្រសិទ្ធិភាព ក្នុងគោលបំណង បង្ការការបំពាន, ដាក់ចេញដំណោះស្រាយទៅលើភាពងាយរងគ្រោះដែលមាន, ធ្វើឱ្យប្រសើរឡើងមជ្ឈដ្ឋានសន្តិសុខសាយប័ររបស់អង្គភាព និងកាត់បន្ថយហានិភ័យឱ្យនៅទាបបំផុត។
និយាយជារួម Intelligence នៅក្នុងន័យសន្តិសុខសាយប័រ ត្រូវតែបម្រើគោលបំណងពីរយ៉ាង៖
១. ចង្អុលបង្ហាញជាសកម្មភាព ឬការសម្រេចចិត្តច្បាស់លាស់
២. អាចយកទៅបម្រើក្រុមគោលដៅជាក់លាស់ ដែលអាចជាបុគ្គល ជាក្រុម ឬប្រើប្រាស់ក្នុងប្រព័ន្ធឌីជីថល សម្រាប់ការសម្រេចចិត្ត ឬធ្វើសកម្មភាពណាមួយ
ទិន្នន័យ ឬព័ត៌មានដែលមិនអាចយកទៅប្រើប្រាស់បាន គឺមិនមែនជា Intelligence នោះទេ នៅក្នុងបរិបទសន្តិសុខសាយប័រ៕
តើអ្នកយល់ដូចម្តេចដែរ?
@OUPNarith
នៅក្នុងន័យសន្តិសុខសាយប័រ យើងត្រូវចែកឱ្យដាច់ពីគ្នារវាង Data, Information និង Intelligence:
ក. Data គឺជាទូទៅគ្រាន់តែជាការចំនុចអង្អុលបង្ហាញមានដូចជា IP addresses, URLs, ឬក៏ hashes ជាដើម។ Data មិនបានផ្តល់អ្វីឱ្យយើងបានច្រើននោះទេ បើសិនជាមិនបានធ្វើការវិភាគឱ្យកាន់តែសុីជម្រៅ
ខ. Information អាចជួយឱ្យយើងឆ្លើយទៅនឹងសំណួរមួយចំនួន មានដូចជា៖ តើមាន IP addresses ចំនួនប៉ុន្មានដែលបានវាយប្រហារមកក្នុងប្រព័ន្ធរបស់យើង? តើមាន URLs ចំនួនប៉ុន្មានដែលបានធ្វើការភ្ជាប់ទៅ? ទោះបីជាព័ត៌មាានទាំងនេះច្បាស់លាស់ជាងទិន្នន័យឆៅ (raw data) ក៏ដោយ ក៏វាមិនបានឆ្លុះបញ្ចាំងឱ្យធ្វើសកម្មភាពណាមួយឡើយ
គ. Intelligence គឺជាការយល់ដឹងមួយ (insight) ដោយផ្អែកទៅលើការវិភាគបានមកពីទិន្នន័យជាច្រើនប្រទាក់ក្រឡាគ្នារវាង data និង information មកពីប្រភពផ្សេងៗគ្នា។ វានឹងផ្តល់ឱ្យយើងនូវព័ត៌មានជាក់លាក់មួយសម្រាប់ធ្វើការសម្រេចចិត្ត និងដាក់ចេញសកម្មភាពប្រកបដោយប្រសិទ្ធិភាព ក្នុងគោលបំណង បង្ការការបំពាន, ដាក់ចេញដំណោះស្រាយទៅលើភាពងាយរងគ្រោះដែលមាន, ធ្វើឱ្យប្រសើរឡើងមជ្ឈដ្ឋានសន្តិសុខសាយប័ររបស់អង្គភាព និងកាត់បន្ថយហានិភ័យឱ្យនៅទាបបំផុត។
និយាយជារួម Intelligence នៅក្នុងន័យសន្តិសុខសាយប័រ ត្រូវតែបម្រើគោលបំណងពីរយ៉ាង៖
១. ចង្អុលបង្ហាញជាសកម្មភាព ឬការសម្រេចចិត្តច្បាស់លាស់
២. អាចយកទៅបម្រើក្រុមគោលដៅជាក់លាស់ ដែលអាចជាបុគ្គល ជាក្រុម ឬប្រើប្រាស់ក្នុងប្រព័ន្ធឌីជីថល សម្រាប់ការសម្រេចចិត្ត ឬធ្វើសកម្មភាពណាមួយ
ទិន្នន័យ ឬព័ត៌មានដែលមិនអាចយកទៅប្រើប្រាស់បាន គឺមិនមែនជា Intelligence នោះទេ នៅក្នុងបរិបទសន្តិសុខសាយប័រ៕
តើអ្នកយល់ដូចម្តេចដែរ?
@OUPNarith
👍7❤1