IT News פורטל המחשוב העסקי וההייטק של ישראל
בני פלח, מנהל פיתוח עסקי בחברת דאנט תקשורת המשווקת את מוצר הגנת ה-API של חברת L7 Defense, מסביר מדוע הלקוחות מעדיפים אוטומציה, ולמה פתרונות ה-WAF הקיימים אינם מתאימים למשימת הההגנה על API ארגוניים. מיוחד
מגיפת הקורונה מאלצת את הארגונים בארץ ובעולם לעבור למודל מכירות ושירות מקוונים וכתוצאה מכך לחוות טרנספורמציה דיגיטלית מואצת. פעילות מקוונת דורשת תשתית עדכנית התומכת במערכות משתמש, אתרים ואפליקציות, יעילות הנדרשות להתעדכן במהירות כתגובה לצרכים העסקיים המשתנים תדיר. מימוש גמישות אפלקיטיבית שכזו מחייב שימוש מסיבי בממשקי API הניתנים לשימוש ו/או עדכון במהירות על ידי המפתחים. כמובן שעם הגידול במורכבות מערכות התכנה ובמספר הממשקים התומכים בהן, נדרש לתת פתרונות הגנה מותאמים להגנה על הממשקים עצמם.
"הפתרון של חברת L7 Defense לא דורש הגדרה ידנית של מודל הגנת הממשקים. התהליך הנו אוטומטי לחלוטין. הפתרון מגלה ולומד את ממשקי הAPI באופן אוטומטי ומיישם למידה אוטומטית של ממשקי API והגנת INLINE המבוססת על ממשק בודד באופן מדוייק מאד בהתבסס על טכנולוגית AI מתקדמת." מסביר בני פלח, מנהל פיתוח עסקי בחברת דאנט תקשורת המשווקת את מוצרי L7 Defense.
"בשונה מהפתרון של חברת L7 Defense, הרוב המוחלט של פתרונות ההגנה האפליקטיביים הקיימים מגיע בגישה שאתה צריך ללמד אותם. זה הפורטל, זה המבנה שלו, אלו השדות פר דף וכו'. כאשר מדובר בהגנת אתר, התהליך יחסית ברור כי יש תהליך שעובר הגולש. בתשדורות API, התהליך מול המשתמש מורכב ומשתנה מעל ה API דבר שאינו מאפשר שימוש במערכות WAF הנפוצות בהגנה על אפליקציות."
"הלקוחות מצפים להגדרות ידניות"
באחת ההתקנות האחרונות בארץ שביצעה דנט, אצל חברה פיננסית מרכזית, תהליך ההתקנה לקח שעה, כאשר לאחר שלושה ימים של עבודה אוטומטית וללא שנתגלו שגיאות זיהוי של המערכת ולאחר שהלקוח השתכנע בכך, המערכת הועברה למצב הגנה פעיל.", פלח מסביר, עם חיוך, הלקוחות נדהמים מהעובדה שלא נדרשות הגדרות ידניות. "אתה מתניע מערכת, היא עובדת מיידית, הלקוח מרוצה. אחרי מספר ימים פתאום הוא חוזר אליך עם השאלה ששכח… ומה עם ההגדרות הידניות? לקוחות כל כך רגילים להיות משועבדים להגדרות ידניות במערכות ההגנה ופתאום אין להם את זה. זה מפתיע את אנשי האבטחה והמנהלים הטכנולוגים בארגונים." פלח מוסיף, "ברמה התפעולית יש קיטון משמעותי בעלויות התפעול. אנחנו בחברה עוברים מפוזיציה של מכירת מוצר – למכירה של חווית לקוח כחלק ממערך כולל. הפתרון של L7 Defense מהווה רכיב משמעותי ביכולת שלנו להוביל שינוי זה".
"הלקוח רוצה פתרון מלא"
יונתן חצניוק, ה-CTO של דנט, מסביר כי הפתרון של L7 Defense הינו חלק ממערך הגנה שלם – WAF, CDR ו-L7 Defense אותו מטמיעה דנט אצל לקוחותיה. "המוצר של L7 מספק יכולות הגנה מדוייקות מאד ל- API מפני מגוון תקיפות, החל מתקיפות פשוטות דוגמת SQL Injection וכלה בתקיפות בוטיות מתקדמות הממוקדות בלוגיקת הממשקים", מסביר יונתן. "שילוב המערכת בסביבת הלקוח הנו יחסית פשוט, ומבוסס על התחברות למערכות קיימות לפי צורך. לדוגמא, אם ללקוח יש Load Balancer אנחנו מחברים אליו את המערכת של L7 Defense בתהליך ברור וידוע. תהליך ההתקנה נגמר בד"כ בתוך אותו יום עבודה, כשבסופו המערכת באויר".
מתי לקוחות מבינים שיש להם בעיה עם ממשקי API?
"מערכות ההגנה הקיימות כיום בארגונים לא נבנו לצורך הגנת ממשקי API", מסביר פלח, "אתה מוצא שארגונים מחזיקים במגוון מערכות אבטחה של יצרנים מובילים, המספקים הגנה על חוות שרתים והשרתים, דוגמת FW, IDS, IPS ועוד, ואין להם עדיין פתרונות להגנה על ממשקי API, שהוא תחום הגנה יחסית חדש." פלח מסכם, "לקוחות מתחילים להיות ערניים יותר ויותר לחוסר זה לאחרונה ממספר סיבות וביניהן זיהוי אירוע אבטחתי שמסתבר שניצל ממשק API ארגוני, דרישה רגולטורית וכמובן ההבנה שהוספת APIs הקורית תכלס כל יום, ע"י המפתחים בתהליכי DEVOP אוטומטיים חושפת אותם יותר ויותר למתקפות, כאשר ברור להם שה- API GATEWAY שהוקמו על ידם לא מסוגלים להגן על הממשקים. בפועל, בלי פלטפורמת הגנה ייעודית לממשקים – אתה לא מוגן "
