{{indPage.title}} /{{BreadCrumbs}}
Noname Security 2023/02/06
Noname Security 創新技術引進 全力提升台灣 API 安全
在 API 經濟商機背後,也引爆大規模 API 資安事件。逸盈科技代理的 Noname API 平台,具備獨步市場的四大特色,已在全球市場累積眾多成功案例,絕對是企業打造 API 生態圈的最佳方案。
隨著資料價值快速攀升,帶動全球進入數位經濟時代,催生不同領域業者正透過 API 擴大自身的資料價值,以便為消費者提供客製化服務。如台灣金管會即推動 Open Banking API,鼓勵金融產業打造跨業金融生態圈,接軌國際潮流。然在此API 經濟背後,全球各地接連爆發多起 API 安全事件,如 Toyota 遭到攻擊、澳洲第二大電信商的資料外洩事件等,都是源自於 API 漏洞所致。而 Gartner 更在 Web API 安全報告指出,2022 年 API 攻擊將會成為企業機敏資訊洩漏的最主要媒介。
為協助台灣企業做好API管理與資安防護工作,逸盈科技(Netfos)正式宣佈代理 Noname 全系列產品,搭配完善的技術服務顧問團隊,能為台灣產業提供最佳 API 安全解決方案,扮演搶攻API經濟商機的最佳夥伴。
Noname Security 台灣區總經理陳郁汶指出,導致 API 資安事件頻傳的原因有二部分,首先是軟體開發過程中資安思維未與時俱增,只有做原始碼檢測(Code Review),並未針對 API 做進一步檢測,以至於 API 本身存在許多漏洞,成為駭客入侵的快速管道。其次,現有 WAF、網路平衡負載設備、防火牆等資安防護設備,根本無法監控 API 運作狀況,往往等到發生資料外洩時,才察覺已遭到入侵。而 Noname Security 是全球唯一能對 API 安全採取全面且主動偵測的業者,本次與臺灣擁有豐富產業經驗的逸盈科技合作,希望能為臺灣企業提供最佳API安全解決方案。
Noname Security 亞太區業務副總裁 Lim Pun Kok 說,資訊安全對營運重要性已無需多再贅述,現在 API 經濟當道下,企業應重新檢視資安防護架構不足之處。Noname Security 與 20% 全球財星 500 大企業有緊密合作關係,我們有能力幫助企業以最簡單方式管理 API 風險。如星巴克即是選擇 Noname API 安全平台,建立完整 API 保護機制,作為發展 API 生態圈的後盾。
WAF、API 閘道器防護力不足 引爆 API 安全危機
隨著 API 資安事件頻傳,企業意識到保護 API 安全的重要性,只是多半都是仰賴現有 WAF(Web Application Firewall,網站應用程式防火牆)或API閘道器進行保護。只是此兩種產品並非為 API 管理與安全設計,導至 API 防護成效不佳。資安機構公布研究報告指出,透過API進行的資安攻擊事件,在短短一年內暴增681%。關鍵在於WAF多半是採用傳統特徵碼比對方式,只能揪出存在的惡意程式,無法察覺未知新型態惡意程式、針對性的 API 攻擊手法。至於 API 閘道器只能用來管理已知API,以及記錄相關身份認證資料,無法揪出公司內部影子API,以及掌握資料傳輸流向等資訊,難以有效保護API安全。
事實上,根據 Noname Security 研究報告發現,有76%受訪者表示過去 12 個月內發生過 API 安全事件,74% 受訪者沒有完整 API 清單,或不知道哪些 API 會回傳敏感資料。正凸顯出唯有 Noname API 安全平台,才能妥善保護 API 漏洞,同時能避免發生因人為設定錯誤,而成為惡意程式入侵的破口。
「雖然在發展 API 生態圈過程中,API 閘道器和 WAF 扮演非常重要角色,但均無法做好 API 安全管理與可視性,才會導致攻擊事件不斷發生。我們在協助客戶導入 Noname API 安全解決方案過程中,發現多數企業資訊人員不知道公司內部存在大量的影子 API,這也成為資安防護上的破口。」陳郁汶解釋:「市面上有不少號稱可保護 API 安全的方案,我們建議企業從可提供 API 安全狀態、偵測與回應、持續測試等面向進行評估,Noname API 安全平台是唯一符合三大要求的方案。」
獨步市場四大特色 打造 API 生態圈最佳後盾
Noname API 安全平台能主動保護企業免於因 API 安全漏洞、錯誤設定、設計缺陷,而遭受不明的惡意攻擊手法,並能透過自動化偵測掃描的快速回應機制,提供全方位的 API 安全保護。這款產品採用 out-of-band 分析 API 的請求和回應,企業不需要更改現行網路架構,也不需擔心會有額外的故障點。Noname API 安全平台除能提供更深入可視化和安全性之外,也能與企業內部現有的API 閘道器、負載平衡設備、WAF 等設備整合,透過聯合防禦方式阻斷惡意程式入侵。
Noname API 安全平台具備 API 發現、API 威脅偵測和修復、API 狀態管理、API 安全測試等四大特色,首先在API發現部分,可協助資訊人員盤點公司內部所有正在使用的 API,以及未受 API 閘道管理的 API,能揪出無人管理的影子 API,將API 風險降到最低。
Lim Pun Kok 指出,在 API 威脅偵測和修復部分,我們採用功能強大的人工智慧和機器學習技術,可自動學習與紀錄API運作過程中的資訊。一旦出現異常傳輸行為時,能立即察覺未知威脅和與攻擊,以便能在第一時間進行修補與補救。
陳郁汶說,很多企業都忽略 API 狀態管理的重要性,Noname API 安全平台能協助企業了解API是否會暴露敏感資料,以及後續補救漏洞的方法。至於API安全測試部分,則能進行全方面的測試,並儘可能採用自動化測試流程,確保 API 在部署之前都經過完整測試,避免成為駭客發動攻擊時的破口。此外,平台也會檢測 OWASP API Security Top 10 中的所有漏洞,避免發生 API 資料外洩、授權問題、濫用、 誤用和資料毀損。
值得一提,Noname API 安全平台也提供公有雲服務的版本,並與 Google Cloud、AWS、Azure 等公有雲業者合作,讓企業能依照營運需求與產業特性選擇最合適的平台,搭配技術能力強悍的顧問服務團隊,助企業有效強化 API 安全。
來源:iThome專訪