目前,API 作為數(shù)據(jù)流轉(zhuǎn)和使用的重要通道,成為更多企業(yè)訪問數(shù)據(jù)/服務(wù)的接口,承載著重要責任的同時,更成為眾多黑產(chǎn)團伙攻擊的“靶心”。
近日,一項最新的研究數(shù)據(jù)顯示,“在過去的一年中,大約 95% 的受訪企業(yè)遭遇過 API 應(yīng)用安全事件,并有 50% 以上的企業(yè)因此推遲業(yè)務(wù)應(yīng)用程序的發(fā)布和更新。”企業(yè)明明已經(jīng)提升對 API 應(yīng)用安全的重視度,為什么攻擊者仍然可以廣泛的進行惡意攻擊?
從技術(shù)視角看:市面上的 API 產(chǎn)品仍然采用傳統(tǒng)技術(shù)方案進行實現(xiàn),已不足以抵御現(xiàn)代威脅。其特點包括:
一是采用源代碼的靜態(tài)掃描,這種方式掃描時間長、誤報率高、漏報率高,而開發(fā)人員相對更承認黑盒掃描和人工測試的結(jié)果。
二是傳統(tǒng)黑盒漏洞掃描工具和流量分析工具只能根據(jù)使用者給出的 API 信息才能開展漏洞掃描或 API 監(jiān)控,無法做到自動化同步基礎(chǔ)信息。
三是多設(shè)備部署成本較高、等保測評時設(shè)備越多分數(shù)越低、實戰(zhàn)時設(shè)備越多則攻擊面越廣,并且同一 API 需要多設(shè)備重復(fù)打標基礎(chǔ)信息 ,這就造成不同工具在配合中的完成率可能不到 80% 。
從產(chǎn)品視角看:市面上的 API 產(chǎn)品主要包括兩大類:一是 API 資產(chǎn)管理類,二是 API 訪問監(jiān)測類?,F(xiàn)有 API 工具是不夠的。
以上兩類產(chǎn)品,都是 API 防護的“可見”部分,并沒有考慮由于 API 在不斷的創(chuàng)建和更新周期中運行的“不可見”部分,而軟件開發(fā)生命周期的每個階段的迭代方法將有助于確保生產(chǎn)中的保護。
基于此背景,固源科技的 Wib API 全生命周期安全解決方案應(yīng)運而生。該方案提供了完整的可見性(覆蓋所有隱藏的 API,對已知和未知 API 的行為進行監(jiān)控),用于識別、確定優(yōu)先級和消除漏洞,防止重復(fù)出現(xiàn)的錯誤,并確保用戶數(shù)據(jù)的安全;提供了用于了解和緩解 APls 的獨特漏洞和安全風(fēng)險的策略和解決方案,保護 APls 在生命周期的每個階段(從開發(fā)到測試再到生產(chǎn))進行工作,以確保保護并通過消除漏洞不斷提高安全性。
固源-技術(shù)創(chuàng)新
固源科技 Wib API 全生命周期安全解決方案考慮應(yīng)用程序的演變、攻擊者的演變以及這些攻擊者現(xiàn)在針對應(yīng)用程序和 APls 的獨特邏輯,安全、高效、節(jié)約成本。
一是用白盒技術(shù)對代碼層的API進行全量檢測并發(fā)現(xiàn)所有隱藏或遺漏的API,保證API資產(chǎn)的完整性;
二是將 API 作為資產(chǎn),并將白盒、黑盒、灰盒的 API 數(shù)據(jù)全鏈路打通,保證客戶可以對 API 全生命周期進行管控。
三是一個產(chǎn)品即可減少客戶打標基礎(chǔ)信息的時間、降低數(shù)據(jù)打通的部署成本,并規(guī)避了多設(shè)備、多廠商的安全風(fēng)險。
固源-解決方案
固源科技 Wib API 全生命周期安全解決方案采用整體方法來緩解整個 API 生命周期中的威脅,將確保整個軟件開發(fā)生命周期的 API 安全性的持續(xù)改進和效率。
開發(fā)階段:支持 API 代碼分析,分析 APls 和客戶端代碼,第一時間檢測 API 威脅和漏洞。
測試階段:提供 API 攻擊模擬器來測試和改進您的 APls,保護它們免受威脅,并通過在 API 攻擊上線之前模擬漏洞來修復(fù)漏洞。
生成階段:擁有 API 消息檢查功能和 API 合規(guī)性防御者。
監(jiān)控:可用 API 消息檢查分析每個 API 調(diào)用,以建立常規(guī)行為的基線,并檢測偏離該行為的任何活動。
金融合規(guī):API 合規(guī)性防御者,可實時識別并解決合規(guī)性違規(guī)和安全問題。
API 安全性是保護 APls 免受攻擊的過程。APls 通常被廣泛記錄或易于逆向工程,因為它們經(jīng)常通過公共網(wǎng)絡(luò)獲得,可以從任何地方訪問。APls 還存儲敏感數(shù)據(jù),導(dǎo)致攻擊面顯著增加,有許多進入組織網(wǎng)絡(luò)的入口點。
保護和覆蓋所有 API 軟件開發(fā)生命周期是從各個點保護 API 的唯一方法。固源科技 Wib API 全生命周期安全解決方案正是以整體和集成的方式在其全生命周期中進行保護,是保護 APls 的最佳方法。如果您擁有 Wib API 全生命周期安全解決方案保護,您將獲得現(xiàn)有 APls 的完整可見性、對其完整性的分析、漏洞識別和實時攻擊檢測。
2022年一項研究發(fā)現(xiàn),大型企業(yè)平均有超過 2.5 萬個 API 連接其基礎(chǔ)設(shè)施,而在12個月內(nèi)則有高達 41% 的組織經(jīng)歷過API安全事件,其中,63%涉及數(shù)據(jù)泄露或遺失,API安全形勢嚴峻。截至目前,固源科技 Wib API 全生命周期安全解決方案已在電力行業(yè)、金融行業(yè)、互聯(lián)網(wǎng)電子商務(wù)行業(yè)、軍工領(lǐng)域、國防領(lǐng)域、科研院所等得到廣泛應(yīng)用。固源科技,專注于AI智能漏洞挖掘及防御建設(shè)!
北京固源網(wǎng)絡(luò)科技有限公司(簡稱“固源科技”)成立于2015年,團隊從2019年開始研究模糊漏洞挖掘核心算法, 核心成員由國內(nèi)頂尖網(wǎng)絡(luò)攻防安全專家(現(xiàn)國內(nèi)網(wǎng)絡(luò)尖刀成員), 以色列Beyond Security, Checkmarx中國區(qū)骨干成員組成。固源科技自主研發(fā)的一系列軟件安全漏洞挖掘安全產(chǎn)品,可以廣泛應(yīng)用于各行各業(yè)的軟硬件環(huán)境中,為客戶實現(xiàn)安全前置,提前發(fā)現(xiàn)潛在安全漏洞。