F5 左移安全防線,全面守護 API 安全

發布日期:2024/05/20

應用程式介面(API)是我們現代數位生活中隱藏的中樞神經系統。 每天,我們使用的 API 比比皆是,從在最愛的咖啡店購買第一杯咖啡,刷卡進入辦公室,叫車與同事共進午餐,查詢天氣,到下班後在家串流喜愛的電視節目。幾乎每個我們互動的組織與應用都依靠 API 驅動其數位業務,無論他們是否意識到這一點。

API 優先的軟體開發和交付的興起以前所未有的方式改變了世界。但問題是,當您的應用程式和架構發生變化時,您的攻擊面也會發生變化。傳統的安全措施(例如 WAF、DDoS 和機器人程式防護)仍然必不可少,但它們不足以完全保護這些 API,它們是為當前的攻擊面而構建的,無法預測未來幾年 API 快速採用所帶來的攻擊面和變化。

作為全球應用程式和 API 安全的領導者,F5 技術位於全球近一半應用程式的數據路徑上,可以獨特地洞察現代網頁和行動應用程式的攻擊。我們的分析表明,當今超過 90% 的基於網頁的網路攻擊都針對 API 端點,試圖利用較新、了解較少的漏洞,這些漏洞通常是由安全團隊未主動監控的 API暴露出來的。

隨著攻擊行為和攻擊面的變化,您的防禦也必須隨之適應。業界目前對生成式人工智慧的關注也推動了應用程式和 API 的快速增長,以支持人工智慧和機器學習(AI/ML)模型,增加了複雜性。現代企業需要一個動態的防禦策略,專注於提前發現並降低風險。

這些快速變化的步伐使保護關鍵 API 成為所有類型組織的一大挑戰。已經捉襟見肘的開發人員和防禦團隊往往甚至不知道公司使用了多少 API、它們在哪裡,以及這些介面支持的關鍵數據和業務流程所涉及的合規性和其他風險。

雖然技術一直在變化,但 API 安全現象突顯了網路安全的基石原則。主要控制框架(例如 NIST)幾乎總是以「識別」作為開端是有原因的。簡而言之,您無法保護看不到的東西,也無法有效管理您不了解的攻擊面的風險。

API 盲點已成為一個根本性問題,今天太多組織在對待其 API 時猶如盲人摸象。自 2019 年至少以來,Gartner 和其他行業分析師就一直預測 API 將成為頭號攻擊媒介,我們的數據也支持這一觀點,而且沒有減緩的跡象。

網路安全產業已經做出了回應,但到目前為止,主要是針對 API 開發的某個方面的單點解決方案。 此類產品提供多種但有限的功能,例如API discovery用於查找已知正在使用的 API,或掃描和測試工具以協助查找漏洞並嘗試彌補這些漏洞。

但是 API 安全的未來並不是一系列您必須拼湊並嘗試自己整合的單點解決方案。F5 Distributed Cloud Services 分散式雲服務應運而生。


要建立公司的未來,您必須讓公司為未來做好準備。

F5,在分散式計算和應用安全方面的行業領導者,早在5年前就意識到了對API的重要強調,並開始打造一套能夠改變遊戲規則的能力組合,作為F5 Distributed Cloud Services的一部分推向市場。

今天的AI驅動應用程式依賴於跨本地部署、雲端和邊緣部署的數據源、模型和服務的分佈式排列,這些排列由日益增多的API連接在一起。為了幫助客戶應對這些交織在一起的挑戰和機遇,我們很高興地宣布,F5將先進的API程式碼測試和遙測分析引入到F5 Distributed Cloud Services中,從而創建業界最全面且支持人工智能的 API 安全解决方案。最近從API安全創新公司Wib收購的能力的增加,使得在應用程式開發過程中可以進行漏洞檢測和可觀察性,識別風險並在API進入生產環境之前實施政策。

就像API安全的未來一樣,F5 Distributed Cloud Services是為所有企業計算的未來而建立的,共享這些重要屬性:

  • 多雲
  • 以API為先
  • 由AI驅動


將最佳之處變得更好

F5 已在 F5 分佈式雲端套件的Web應用程式和API保護(WAAP)服務中提供了強大的 API 發現和保護功能,此平台可以自動建立和驗證健全的 API 架構,利用可操作的見解揭示 API 風險,並運用人工智能和機器學習 (AI/ML) 技術減輕複雜的 API 攻擊。結合 Distributed Cloud WAAP、NGINX App Protect 和 BIG-IP Advanced WAF,F5 使客戶能夠以獨特的方式保護任何應用程式和任何 API,無論它們位於何處。

而現在F5正在向左移動(Shift Left),關注整個 API 生命週期,提供更全面的安全防護。

F5 分布式雲端 API 安全結合 Wib 平台,提供了業界最全面的API安全解決方案。

為了實現這一點,我們將現有 API 發現和保護功能擴展到以下方面:

  • API 程式碼分析: 在 API 投入生產之前,通過分析程式碼發現 API 端點並評估其風險。
  • API 測試:除了程式碼分析,我們還會進行 API 測試,主動查找漏洞並驗證可疑的威脅,確保發現的可疑威脅真實有效。
  • API 合規性分析:除了基本的 API 安全防護,我們還會進行合規性分析,確保您的 API 符合相關法規的要求。
  • API 威脅面評估:我們會監控您的公共資產,查找新出現的 API,並識別那些未納入安全治理範圍的 API,避免出現遺漏的 API 安全漏洞。
  • API 安全融合引擎:我們將通過 API 安全融合引擎整合所有來自不同來源的威脅、漏洞和資訊,讓您全面瞭解 API 的安全狀況,及時發現並處理潛在的安全威脅。

加入我們,使用世界上第一個全面的應用程式和API安全解決方案來保護您的應用程式和API,實現從程式碼到雲端的真正可視性和安全性。

在任何地方運行,隨時保護——只有F5。

 

資料來源:F5 Is Shifting Left to Protect APIs | F5

返回上一頁