光盾信息推出API盘点暨攻击侦测产品
- 吴冠仪/台北
-
API为诸多应用程序和应用程序之间的桥梁,它们是网站、数据交换、系统整合的核心工具,但这也使黑客有了更多攻击的入口。根据OWASP的API Top 10风险报告,包含未经验证的数据传输、过度授权、以及缺乏适当的监控与日志,都是API常见的安全隐患。这些漏洞一旦遭到攻击,不仅可能导致敏感数据外泄,更会影响企业的营运与声誉。
除了API本身的漏洞,「影子API」是非常容易出现网安问题的重点-它是在企业内部未经审核、记录或管理的 API。通常是开发者在开发或测试过程中创建的,也可能是网络罪犯埋入的。
光盾信息(RayAegis)专精于网安检测,已为客户发现不少这样的问题:公司将程序外包或购买产品,但于交付时,这些外包程序或购买的产品含有「影子API」(大多系因开发者用了网络上的第三方套件),造成公司系统被黑客利用影子API,感染恶意程序。这样的供应链议题,已造成了诸多重大网安事件。目前市面上的工具多针对「CVE漏洞」进行扫描,但仅非常数少工具能检测程序中的恶意程序、后门等。
有监于此,金管会亦将API盘点视为重要项目。除了进行盘点,光盾信息的产品结合零时差攻击侦测、沙箱分析,因此在盘点出API的同时,亦可侦测针对API的攻击、存在的漏洞等,为API防护作严谨的把关。2024年,光盾发现许多客户的API并未正确设定权限控管,造成未经授权的黑客可以任意存取此类API并取得敏感信息、上传恶意程序、入侵内部网络等。除侦测攻击之外,此产品亦可与WAF或防火墙进行联合防御。
除了盘点API、侦测针对API的攻击、发现API漏洞外,光盾的API盘点设备亦可侦测个资及敏感信息藉由API传送。
光盾信息提供强化API的安全建议:
盘点与分类API:藉由网络侧路的方式,动态盘点所有内部与外部API、找出可能的「影子API」、运行之中API,并针对敏感API加强安全性控制。
加强验证与授权机制:实施严格的身份验证与浏览控制,避免未授权的存取。实施API日志与监控:建立API的实时监控系统,追踪可疑的活动及相关攻击。
遵循API安全架构:参考如OWASP的API Top 10安全指南,并采取对应的修补措施。
修补相关漏洞:若侦测出相关攻击及漏洞,应实时进行修正。
光盾信息(RayAegis)专注于提供领先的网安全解决方案,持续为无数国内外的银行、企业及政府单位进行API盘点、API相关漏洞侦测。更多信息请参考光盾信息的官网。
