Noname Security 創新技術引進全力提升台灣API 安全

在API經濟商機背後，也引爆大規模API資安事件。逸盈科技代理的Noname API平台，具備獨步市場的四大特色，已在全球市場累積眾多成功案例，絕對是企業打造API生態圈的最佳方案。

隨著資料價值快速攀升，帶動全球進入數位經濟時代，催生不同領域業者正透過API擴大自身的資料價值，以便為消費者提供客製化服務。如台灣金管會即推動Open Banking API，鼓勵金融產業打造跨業金融生態圈，接軌國際潮流。然在此API經濟背後，全球各地接連爆發多起API安全事件，如Toyota遭到攻擊、澳洲第二大電信商的資料外洩事件等，都是源自於API漏洞所致。而 Gartner更在Web API安全報告指出，2022年API攻擊將會成為企業機敏資訊洩漏的最主要媒介。
為協助台灣企業做好API管理與資安防護工作，逸盈科技（Netfos）正式宣佈代理Noname全系列產品，搭配完善的技術服務顧問團隊，能為台灣產業提供最佳API安全解決方案，扮演搶攻API經濟商機的最佳夥伴。

Noname Security台灣區總經理陳郁汶指出，導致API資安事件頻傳的原因有二部分，首先是軟體開發過程中資安思維未與時俱增，只有做原始碼檢測（Code Review），並未針對API 做進一步檢測，以至於API本身存在許多漏洞，成為駭客入侵的快速管道。其次，現有WAF、網路平衡負載設備、防火牆等資安防護設備，根本無法監控API運作狀況，往往等到發生資料外洩時，才察覺已遭到入侵。而Noname Security是全球唯一能對API 安全採取全面且主動偵測的業者，本次與臺灣擁有豐富產業經驗的逸盈科技合作，希望能為臺灣企業提供最佳API安全解決方案。

Noname Security亞太區業務副總裁Lim Pun Kok說，資訊安全對營運重要性已無需多再贅述，現在API經濟當道下，企業應重新檢視資安防護架構不足之處。Noname Security與 20%全球財星500大企業有緊密合作關係，我們有能力幫助企業以最簡單方式管理API風險。如星巴克即是選擇Noname API安全平台，建立完整API保護機制，作為發展API生態圈的後盾。

WAF、API閘道器防護力不足引爆API安全危機

隨著API資安事件頻傳，企業意識到保護API安全的重要性，只是多半都是仰賴現有WAF（Web Application Firewall，網站應用程式防火牆）或API閘道器進行保護。只是此兩種產品並非為API管理與安全設計，導至API防護成效不佳。資安機構公布研究報告指出，透過API進行的資安攻擊事件，在短短一年內暴增681%。關鍵在於WAF多半是採用傳統特徵碼比對方式，只能揪出存在的惡意程式，無法察覺未知新型態惡意程式、針對性的API攻擊手法。至於API 閘道器只能用來管理已知API，以及記錄相關身份認證資料，無法揪出公司內部影子API，以及掌握資料傳輸流向等資訊，難以有效保護API安全。

事實上，根據Noname Security研究報告發現，有76%受訪者表示過去12個月內發生過API安全事件，74%受訪者沒有完整API清單，或不知道哪些API會回傳敏感資料。正凸顯出唯有Noname API安全平台，才能妥善保護API漏洞，同時能避免發生因人為設定錯誤，而成為惡意程式入侵的破口。

「雖然在發展API生態圈過程中，API閘道器和WAF扮演非常重要角色，但均無法做好API安全管理與可視性，才會導致攻擊事件不斷發生。我們在協助客戶導入Noname API安全解決方案過程中，發現多數企業資訊人員不知道公司內部存在大量的影子API，這也成為資安防護上的破口。」陳郁汶解釋：「市面上有不少號稱可保護API安全的方案，我們建議企業從可提供API安全狀態、偵測與回應、持續測試等面向進行評估，Noname API安全平台是唯一符合三大要求的方案。」

獨步市場四大特色打造API生態圈最佳後盾

Noname API安全平台能主動保護企業免於因API 安全漏洞、錯誤設定、設計缺陷，而遭受不明的惡意攻擊手法，並能透過自動化偵測掃描的快速回應機制，提供全方位的API安全保護。這款產品採用out-of-band 分析API 的請求和回應，企業不需要更改現行網路架構，也不需擔心會有額外的故障點。Noname API安全平台除能提供更深入可視化和安全性之外，也能與企業內部現有的API 閘道器、負載平衡設備、WAF等設備整合，透過聯合防禦方式阻斷惡意程式入侵。
Noname API安全平台具備API發現、API 威脅偵測和修復、API 狀態管理、API 安全測試等四大特色，首先在API發現部分，可協助資訊人員盤點公司內部所有正在使用的 API，以及未受API閘道管理的API，能揪出無人管理的影子API，將API風險降到最低。

Lim Pun Kok指出，在API 威脅偵測和修復部分，我們採用功能強大的人工智慧和機器學習技術，可自動學習與紀錄API運作過程中的資訊。一旦出現異常傳輸行為時，能立即察覺未知威脅和與攻擊，以便能在第一時間進行修補與補救。

陳郁汶說，很多企業都忽略API 狀態管理的重要性，Noname API安全平台能協助企業了解API是否會暴露敏感資料，以及後續補救漏洞的方法。至於API安全測試部分，則能進行全方面的測試，並儘可能採用自動化測試流程，確保API在部署之前都經過完整測試，避免成為駭客發動攻擊時的破口。此外，平台也會檢測 OWASP API Security Top 10中的所有漏洞，避免發生API資料外洩、授權問題、濫用、誤用和資料毀損。

值得一提，Noname API安全平台也提供公有雲服務的版本，並與Google Cloud、AWS、Azure等公有雲業者合作，讓企業能依照營運需求與產業特性選擇最合適的平台，搭配技術能力強悍的顧問服務團隊，助企業有效強化API安全。

詳情內容請洽代理商逸盈科技

台北 02 6636-8889 新竹 03 621-5128

台中 04 3606-8999 高雄 07 976-8909

Noname Security 創新技術引進 全力提升台灣API 安全