Noname Security 2024/01/02

銓立光攜手Noname Security深耕臺灣市場 全力推廣API安全觀念

 

致力扮演最佳資安顧問的銓立光,取得Noname Security臺灣授權總技術經銷商資格,提供API盤點、規劃與部署等服務,已在臺灣市場累積眾多成功案例。2024年將持續攜手原廠技術團隊,全力推廣API安全觀念。

隨著行動裝置成為消費者不可或缺的數位裝置,帶動企業加快推出各種App速度,透過API串連不同領域的資料,與消費者建立緊密關係。根據Google Cloud公布研究報告指出,各產業中坐穩龍頭寶座的企業,投資在API經濟遠超過其他對手。在API經濟當道下,背後隱藏極大資安風險,如近期澳洲電信業者、日本汽車業者,乃至於政府單位等,都接連傳出大量個資遭竊取的憾事。

專注於提供最專業資訊安全服務及系統整合的銓立光,為協助企業強化API資安工作,於2023年第2季正式與Noname Security合作,取得Noname  Security 臺灣授權總技術經銷商資格。銓立光有多位資安顧問通過Noname Security 原廠認證,提供API盤點、規劃與部署等服務,妥善保護API架構整體安全,近半年來已在臺灣市場累積眾多成功案例。

銓立光執行長彭木新指出,銓立光長期關注全球資安趨勢,自然注意到API安全議題,尤其2019年金管會因應開放銀行趨勢,公布開放API的三階段策略後,同步發布相關檢核機制,要求金融業必須做好API管理工作。Noname Security是全球API安全領導廠商,技術與經驗相當雄厚,近幾年來投入臺灣市場,是我們積極爭取的合作對象。我們榮幸能獲得臺灣授權總技術經銷商資格,能與Noname Security共同為臺灣客戶提供最佳技術服務,助企業在搶攻API商機時,也能落實API管理與保護工作。

Noname Security 臺灣區總經理陳郁汶說,Noname Security 能在全球市場獲得眾多用戶肯定的關鍵,在於Noname API安全平臺不僅提供流量監測工具,助企業盤點與掌握現有API健康狀況,也能同步為開發環境提供檢測工具,協助開發人員了解現有API開發專案是否存在漏洞,避免成為資安防護上的漏洞。我們很高興能與銓立光攜手合作,共同協助臺灣產業提升API安全,防堵任何潛在風險。

銓立光完善技術服務 助企業改善API防護觀念

近期在API資安事件頻傳下,讓企業意識到API管理的重要性,然而要落實相關管理工作並不容易。根據銓立光深入分析發現,現今多數公司在API管理上面臨兩大痛點,首先是權責單位不夠明確,因為API管理橫跨應用程式開發、網路安全等兩部門,若沒有明定主管單位,很難落實API安全策略。其次,即便企業有心想做好API管理工作,但已面臨不知道公司內部的API數量,在缺乏合適管理工具狀況下,難以進行盤點、監控等工作,最終讓陷入大量個資外洩的風險。

銓立光執行長彭木新指出,市面上有不少API管理工具,但僅有Noname API安全平臺可提供深度分析,找出API程式存在哪些漏洞與弱點。而銓立光提供的技術服務,先從盤點API著手後,再依照企業營運需求,給予相關部署建議與導入服務。如先移除長時間沒在使用的API程式,減少惡意程式入侵的管道,其次則是確認API設定是否正確、運用OWASP TOP 10進行檢測等,並針對漏洞進行修補與進行軟體更新。最後,則是在開發環境落實API管理工作,達到提升整體資安等級的目標。

「在盤點API之外,我們也會運用基於 AI核心的自動化偵測技術,辨識最常見的 API 弱點,如資料外洩、可疑行為偵測等後,進一步提供攻擊防護、自動更新等服務。」Noname Security 臺灣區資深技術工程師藍天豪解釋:「最後API安全測試服務部分,則是希望讓企業在應用服務上線之前,預先進行詳細測試,確保服務上線時沒有任何潛在風險。」

政府推動零信任機制 Noname API安全平臺扮演重要拼圖

銓立光選擇與 Noname Security合作關鍵,在於該品牌不光在全球市場位居領先地位,持續投入新功能研發,以便能因應各種新型態未知挑戰。如產品漏洞檢測功能已升級到OWASP TOP 10 2023版本外,也加入IP信譽評等清單,協助企業辨識連線IP是否屬於駭客組織,讓資安團隊能在第一時間採取相對應的採取措施。另外,企業也能將自行開發的API上傳到 Noname Security雲平臺之中,系統會進行程式碼分析與辨認工作,讓後續軟體專案交接過程更為順利。

銓立光資安技術架構師謝宸濬說,我們在協助企業處理API資安事件時,發現不少公司認為安裝WAF或API Gatway,就算是做好API管理工作,但事實上並不然。我們會先透過PoC方式,讓客戶感受導入Noname API安全平臺後,無論是在盤點、監控與修復攻擊等面向帶來的效益後,再逐步擴大到整個環境之中。

彭木新指出,考量到各產業特性迥異,銓立光與Noname Security採取分工合作方式,我們主要是鎖定在金融、政府單位,Noname Security則是以製造業著主。近2年因應地緣政治風險、駭客攻擊目標鎖定關鍵基礎設施,數位發展部開始推動政府零信任架構,提升公部門的整體資安防護力,而Noname Security方案正是實現零信任架構最重要的一塊拼圖,目前我們已經累積不少成功案例,也將持續為更多公部門提供完整的技術服務。

鑑於仍然有眾多企業忽略API安全的重要性,在銓立光規劃中,2024年將攜手Noname Security在全臺灣各地舉辦研討會,助企業掌握API安全趨勢,以及了解Noname API安全平臺的特色等,扮演提升臺灣產業API安全等級的最佳後盾。

 

來源:iThome專訪


Noname API安全