光盾資訊推出API盤點暨攻擊偵測產品
- 吳冠儀/台北
-
API為諸多應用程式和應用程式之間的橋樑,它們是網站、資料交換、系統整合的核心工具,但這也使駭客有了更多攻擊的入口。根據OWASP的API Top 10風險報告,包含未經驗證的資料傳輸、過度授權、以及缺乏適當的監控與日誌,都是API常見的安全隱患。這些漏洞一旦遭到攻擊,不僅可能導致敏感資料外洩,更會影響企業的營運與聲譽。
除了API本身的漏洞,「影子API」是非常容易出現資安問題的重點-它是在企業內部未經審核、記錄或管理的 API。通常是開發者在開發或測試過程中創建的,也可能是網路罪犯埋入的。
光盾資訊(RayAegis)專精於資安檢測,已為客戶發現不少這樣的問題:公司將程式外包或購買產品,但於交付時,這些外包程式或購買的產品含有「影子API」(大多系因開發者用了網路上的第三方套件),造成公司系統被駭客利用影子API,感染惡意程式。這樣的供應鏈議題,已造成了諸多重大資安事件。目前市面上的工具多針對「CVE漏洞」進行掃描,但僅非常數少工具能檢測程式中的惡意程式、後門等。
有鑑於此,金管會亦將API盤點視為重要項目。除了進行盤點,光盾資訊的產品結合零時差攻擊偵測、沙箱分析,因此在盤點出API的同時,亦可偵測針對API的攻擊、存在的漏洞等,為API防護作嚴謹的把關。2024年,光盾發現許多客戶的API並未正確設定權限控管,造成未經授權的駭客可以任意存取此類API並取得敏感資訊、上傳惡意程式、入侵內部網路等。除偵測攻擊之外,此產品亦可與WAF或防火牆進行聯合防禦。
除了盤點API、偵測針對API的攻擊、發現API漏洞外,光盾的API盤點設備亦可偵測個資及敏感資訊藉由API傳送。
光盾資訊提供強化API的安全建議:
盤點與分類API:藉由網路側路的方式,動態盤點所有內部與外部API、找出可能的「影子API」、運行之中API,並針對敏感API加強安全性控制。
加強驗證與授權機制:實施嚴格的身分驗證與瀏覽控制,避免未授權的存取。實施API日誌與監控:建立API的實時監控系統,追蹤可疑的活動及相關攻擊。
遵循API安全架構:參考如OWASP的API Top 10安全指南,並採取對應的修補措施。
修補相關漏洞:若偵測出相關攻擊及漏洞,應即時進行修正。
光盾資訊(RayAegis)專注於提供領先的資安全解決方案,持續為無數國內外的銀行、企業及政府單位進行API盤點、API相關漏洞偵測。更多資訊請參考光盾資訊的官網。
