F5 向左移保護策略,確保API 安全無憂

Wib 平台與F5 分散式雲端API 安全性的結合提供了業界最全面的API 安全解決方案。

API 是我們現代數位生活中隱形的中樞神經系統。 API 正每天都在為我們所使用的應用提供動力:從咖啡店購買一杯咖啡,刷卡進入辦公室,搭乘共享汽車與同事共進午餐,查看天氣,亦或是在漫長的一天結束時在沙發上觀賞影視節目。無論我們是否意識到這一點,幾乎我們每天與之互動的每個企業都依賴API 來推動其數位業務。

API 優先的軟體開發和交付方式的興起,以無數種方式讓世界變得更美好。但問題是,當應用程式和架構改變時,攻擊面也會隨之改變。傳統的安全措施,例如WAF、DDoS 和Bot 防護仍然必不可少,但它們無法完全保護這些API。這些安全措施是針對當時的攻擊面而設計的,無法預測未來的攻擊面以及過去幾年API 的快速應用所帶來的變化。

身為應用程式和API 安全領域的全球領導者,F5 技術幾乎涵蓋了全球近一半的應用程式的資料路徑,為現代Web 和行動應用程式所遭受的攻擊提供了獨特的觀察視角。我們的分析顯示,目前超過90% 的基於Web 的網路攻擊都以API 端點為目標,試圖利用更新且較少為人所知的漏洞,而這些漏洞通常是由安全團隊未主動監控的API 所暴露。

隨著攻擊和攻擊面的變化,您的防禦策略也必須隨之調整。業界目前對生成式AI 的關注也推動了支援AI 和機器學習(AI/ML)模型的應用程式和API 數量的快速成長,這進一步增加了複雜性。現代企業需要一種動態防禦策略,專注在風險升級成代價高昂、令人警覺且往往無法預防的漏洞之前,發現並降低風險

這些日新月異的變化使得保障關鍵API 的安全成為各類企業面臨的重大挑戰。團隊人手不足的的開發團隊和維運團隊往往甚至不知道公司使用了多少API,這些API 在哪裡,以及這些介面所支援的關鍵資料和業務流程相關的合規性和其他風險。

雖然技術總是在不斷變化,但API 安全現象強調了網路安全的基本原則。 NIST 等主要控制框架幾乎總是以”識別”為起點,這是有原因的。簡而言之,你無法保護看不到的東西,也不可能有效管理不了解的攻擊面的風險。

Feb7 Apisec Img1
資料來源:N. Hanacek/NIST

API 盲點已成為一個根本性問題,如今有太多的企業在API 方面處於盲目狀態。Gartner和其他產業分析師至少從2019 年開始就預測API 將成為第一大攻擊載體,我們所觀察到的數據也支持這一觀點,而且沒有減緩的跡象。

網路安全產業已經做出了回應,迄今為止,大多數是透過針對API 開發某個方面的點對點解決方案來實現安全防護。這類產品提供的功能多樣但有限,如API 發現功能可尋找已知正在使用的API,掃描和測試工具可協助尋找漏洞並嘗試彌補這些漏洞。

但是,API 安全的未來並不是一系列需要您自行拼湊並嘗試整合的點對點解決方案。F5 分散式雲端服務應運而生。

要迎接公司的未來,就必須為未來做好全面的準備

F5 預見了分散式運算和應用程式安全領域產業對API 的重視,並在5 年前開始建立一套改變遊戲規則的功能,作為F5 分散式雲端服務的形式推向市場。

如今,AI 驅動的應用程式依賴分佈在本地、雲端和邊緣部署上的資料來源、模型和服務,並透過數量迅速增加的API 連接在一起。為了幫助客戶應對這些交織的挑戰和機遇,我們很高興宣布,F5 正在將高階API 程式碼測試和遙測分析引入F5 分散式雲端服務,打造業界最全面、最適合於AI 的API 安全解決方案。 API 安全創新者Wib 的加入,使得F5 解決方案可以在應用程式開發過程中引入漏洞偵測功能和可觀測性;簡言之,F5 可協助企業在API 進入生產環境之前識別風險並實施策略。

與API 安全一樣,F5 分散式雲端平台也是為所有企業的未來發展而推出的,它具備以下這些基本屬性:

  • 多雲
  • API 優先
  • AI 驅動

讓最好的更出色

F5 分散式雲端Web 應用和API 防護(WAAP)解決方案中已經提供了強大的API 發現和保護功能。該平台可自動為API 創建並驗證穩健的模式,透過可操作的洞察揭示API 風險,利用AI/ML 緩解複雜的API 攻擊等。憑藉分散式雲端WAAP 以及NGINX App Protect 和BIG-IP Advanced WAF(API 安全— 新一代WAF),F5 賦予了客戶隨時隨地保護任何應用程式和API 的能力。

現在,F5 正在左移,以解決整個API 生命週期的問題。

F5 Api Security 2024 04 Tw 3

Wib 平台與F5 分散式雲端API 安全性的結合提供了業界最全面的API 安全解決方案。

為了實現這一目標,我們正在透過以下方式增強目前的應用程式介面發現和保護功能:

  • API 程式碼分析,以發現API 端點並評估其風險,然後再部署到生產中。
  • API 測試,以探測漏洞並驗證程式碼和流量分析中偵測到的可疑威脅。
  • API 合規性分析,以確保適當的API 安全態勢符合客戶的監管要求。
  • API 威脅面評估,用於監控企業的公共資產,以發現新API 的出現和安全治理以外的API。
  • API 安全融合引擎可創建一個無縫整合的解決方案,在該解決方案中,每個威脅、漏洞或洞察力都會在所有資訊來源中得到驗證。


作為Wib 的前首席技術長和F5 的新成員,我與團隊一樣,對將Wib 功能引入F5 分散式雲端服務感到興奮,我們已經整合了我們的技術,以提供世界上有史以來最強大、最全面的API 安全平台。

加入我們,使用世界上首個全面的應用程式和API 安全解決方案,實現從程式碼到雲端的真正視覺化和安全性,保障您的應用程式和API 安全性。

隨時隨地運行,安全無所不在— 盡在F5。

查看更多資訊:F5