Πώς η δοκιμή διείσδυσης ενισχύει την ασφάλεια του API

Dezember 1, 2022 0 Von admin

Ρίξτε μια ματιά στις συνεδρίες κατ‘ απαίτηση από τη Σύνοδο Κορυφής Low-Code/No-Code για να μάθετε πώς να καινοτομείτε με επιτυχία και να επιτύχετε αποτελεσματικότητα, αναβαθμίζοντας και κλιμακώνοντας τους πολίτες προγραμματιστές. Παρακολουθήσετε τώρα.

Πέρυσι, Gartner προέβλεψε ότι οι επιθέσεις API θα γίνουν ο πιο συχνός φορέας επιθέσεων το 2022. Αν και παραμένει ασαφές αν ισχύει αυτό, αν ληφθεί υπόψη ότι η εκμετάλλευση της ευπάθειας του API του Twitter εξέθεσε τα δεδομένα 5,4 εκατομμυρίων χρηστών, είναι σαφές ότι είναι καταστροφικά αποτελεσματικά.

Σε μια προσπάθεια να βοηθήσουν τις ομάδες ασφαλείας να αντιμετωπίσουν αυτές τις απειλές, σήμερα, η startup στον τομέα της κυβερνοασφάλειας Wib ανακοίνωσε την κυκλοφορία αυτού που ισχυρίζεται ότι είναι το πρώτο API PenTesting-as-a-service (PTaaS) του κλάδου, το οποίο έχει σχεδιαστεί για να δοκιμάζει την ασφάλεια εφαρμογών, το API και τις ευπάθειες επιχειρηματικής λογικής.

Η Wib ανακοίνωσε πρόσφατα ότι θα συγκεντρώσει 16 εκατομμύρια δολάρια χρηματοδότηση και επιτρέπει στους χρήστες να δημιουργούν ένα πλήρες απόθεμα API, να δημιουργούν τεκμηρίωση και να βελτιώνουν την ορατότητα στην επιφάνεια επίθεσης.

Σε αυτήν την περίπτωση, η δοκιμή διείσδυσης παρέχει στις ομάδες ασφαλείας μια πιο ακριβή εικόνα της στάσης ασφαλείας του API του οργανισμού τους, ώστε να μπορούν να εντοπίσουν και να μετριάσουν πιθανά σημεία εισόδου προτού μπορέσουν να τα εκμεταλλευτούν οι εγκληματίες του κυβερνοχώρου.

Εκδήλωση

Ευφυής Σύνοδος Ασφάλειας

Μάθετε τον κρίσιμο ρόλο του AI & ML στην ασφάλεια στον κυβερνοχώρο και τις ειδικές περιπτωσιολογικές μελέτες του κλάδου στις 8 Δεκεμβρίου. Εγγραφείτε για το δωρεάν πάσο σας σήμερα.

Κάνε εγγραφή τώρα

Παίζοντας catchup με την ασφάλεια API

Η ανακοίνωση έρχεται καθώς οι επιθέσεις σε API συνεχίζουν να αυξάνονται, με έρευνα δείχνοντας ότι το 94% των οργανισμών έχουν αντιμετωπίσει προβλήματα ασφάλειας στα API παραγωγής.

Για να γίνουν τα πράγματα χειρότερα, πολλές ομάδες ασφαλείας βρίσκονται στο σκοτάδι σχετικά με το πώς να ανταποκριθούν σε αυτές τις απειλές, με το 61% να στερείται στρατηγικής ασφάλειας API ή να έχει μόνο ένα βασικό σχέδιο.

Η αλήθεια είναι ότι πολλοί οργανισμοί παίζουν catchup με την ασφάλεια API αφού αγκαλιάζουν το cloud computing και τις μικροϋπηρεσίες.

«Τα περισσότερα από αυτά τα τυφλά σημεία εκτίθενται καθώς οι εταιρείες ενστερνίζονται μια μεθοδολογία API-first και στρέφονται σε μια αρχιτεκτονική βασισμένη σε microservice, η οποία αλλάζει τις επιφάνειες επίθεσης, αλλά οι άμυνές τους δεν έχουν σχεδιαστεί για αυτήν τη δομή και δεν έχουν ακόμη εξελιχθεί για να την καλύπτουν. », δήλωσε ο Chuck Herrin, CTO της Wib. «Η υιοθεσία ξεπερνά πάντα την ασφάλεια και αυτή τη φορά δεν διαφέρει. Αυτό που είναι διαφορετικό αυτή τη φορά είναι ότι η επισκεψιμότητα API είναι ήδη το 91% της επισκεψιμότητας ιστού, ενώ οι περισσότεροι υπερασπιστές δεν αντιμετωπίζουν τα API ως φορέα επίθεσης», είπε ο Herrin.

Προσφέροντας μια ειδικά σχεδιασμένη υπηρεσία δοκιμών διείσδυσης, η Wib παρέχει στους οργανισμούς πρόσβαση στην τεχνογνωσία και τις τεχνολογίες που χρειάζονται για τον εντοπισμό απειλών σε επίπεδο API.

Μετά από κάθε δοκιμή, οι ομάδες ασφαλείας λαμβάνουν μια πλήρη αναφορά αξιολόγησης των εντοπισμένων τρωτών σημείων μαζί με μια βαθμολογία σοβαρότητας κινδύνου που βασίζεται στον υπολογιστή μήτρας στον κυβερνοχώρο του NIST και ένα σχέδιο οδικού χάρτη αποκατάστασης με συστάσεις για τον μετριασμό των τρωτών σημείων.

Επανεξέταση της αγοράς ασφάλειας API

Το Wib είναι μόνο ένας από τους πολλούς παρόχους της παγκόσμιας ασφάλειας API αγοράτο οποίο οι ερευνητές αποτίμησαν σε 783,9 εκατομμύρια δολάρια το 2021 και αναμένουν ότι η αξία του θα φτάσει τα 984,1 εκατομμύρια δολάρια το 2022.

Ο οργανισμός ανταγωνίζεται μια σειρά από ανταγωνιστές στην αγορά, συμπεριλαμβανομένων Ασφάλεια αλατιούπου συγκέντρωσε 140 εκατομμύρια δολάρια στη σειρά D χρηματοδότηση νωρίτερα φέτος, και προσφέρει μια πλατφόρμα βασισμένη στην τεχνητή νοημοσύνη (AI) και τη μηχανική μάθηση (ML) για την απογραφή API και εκτεθειμένων δεδομένων με δυνατότητες ανάλυσης OAS.

Ένας άλλος σημαντικός ανταγωνιστής είναι NoName Security, μια πλατφόρμα ασφαλείας API που εντοπίζει τρωτά σημεία και εσφαλμένες διαμορφώσεις, ενώ παρέχει στις ομάδες ασφαλείας δυνατότητες αυτοματοποιημένου εντοπισμού και απόκρισης. Η NoName Security συγκέντρωσε πρόσφατα 135 εκατομμύρια δολάρια ως μέρος μιας σειράς C γύρος χρηματοδότησης τον Δεκέμβριο του 2021.

Ωστόσο, ο Herrin υποστηρίζει ότι η ευέλικτη προσέγγιση δοκιμών διείσδυσης του WIB και η έλλειψη εξάρτησης από την κυκλοφορία API για τον εντοπισμό απειλών είναι αυτό που το διαφοροποιεί από αυτά τα υπάρχοντα εργαλεία.

„Και οι δύο αυτοί „μονόκεροι“ εστιάζουν σε μια προβολή που βασίζεται στην κυκλοφορία παραγωγής, η οποία είναι χρήσιμος φακός, αλλά δεν επαρκεί για να βρει τυφλά σημεία όπως API ζόμπι (API εκτεθειμένα αλλά χωρίς κανονική κίνηση) ή APIS που δεν επικοινωνούν με την αναμενόμενη μονοπάτια κυκλοφορίας», είπε ο Χέριν.

Η αποστολή του VentureBeat πρόκειται να αποτελέσει μια ψηφιακή πλατεία της πόλης για τους τεχνικούς λήπτες αποφάσεων ώστε να αποκτήσουν γνώσεις σχετικά με τη μετασχηματιστική επιχειρηματική τεχνολογία και να πραγματοποιήσουν συναλλαγές. Ανακαλύψτε τις Ενημερώσεις μας.