IT News פורטל המחשוב העסקי וההייטק של ישראל
תוספת היכולות שנרכשו לאחרונה, מהסטארט אפ הישראלי Wib , מאפשרת זיהוי פגיעות וצפייה בתהליכי פיתוח אפליקציות, זיהוי סיכונים והטמעת מדיניות לפני כניסת ממשקי API לייצור.
מאת: מוטי בן שושן, Sr. Manager, Southern Europe Channel Sales ונציג הנהלת F5 EMEA ל- AppWorld 2024
ממשקי תכנות יישומים (API Application Programming Interface) מפעילים את האפליקציות שבהן אנו משתמשים, כדי לרכוש את הקפה הראשון שלנו בבוקר או לבדוק את מזג האוויר. כל ארגון שאנו מקיימים אתו אינטראקציה, מדי יום, מסתמך על ממשקי API , כדי להניע את העסק שלו. ממשקי API הם מערכת העצבים המרכזית הנסתרת של חיינו הדיגיטליים. כל יום, כל היום.
כניסתם של ממשקי API שינתה את העולם לטובה באינספור דרכים. ארגונים פתחו את המערכות שלהם לספקים, על מנת ליצור שירותים שפועלים בצורה מהירה ויעילה. מצד שני, פתיחות זאת הצריכה הגנה מתאימה. כשהיישומים והארכיטקטורות שלך משתנות, כך גם משטחי ההתקפה שלך גדלים ואתה פגיע יותר. אמצעי אבטחה מסורתיים כמו WAF, DDoS והגנה מפני בוטים, נותרו חיוניים, אך הם לא מצליחים להגן בצורה מלאה על ממשקי ה- API. הם נבנו עבור משטחי ההתקפה של היום, ללא יכולת לחזות את משטח ההתקפה העתידי והשינויים שנגרמו בעקבות האימוץ המהיר של ממשקי API בשנים האחרונות.
כמובילה עולמית באבטחת יישומים ו-API, טכנולוגיית F5 מנטרת כמעט מחצית מהיישומים בעולם, ומספקת קו ראייה ייחודי למתקפות על אפליקציות אינטרנט ומובייל מודרניות. הניתוח שלנו מראה שכיום, למעלה מ-90% מהתקפות סייבר, מבוססות-אינטרנט, מכוונות לנקודות קצה של API, המנסות לנצל נקודות תורפה חדשות יותר, פחות מובנות, שנחשפות לרוב על ידי ממשקי API שאינם מנוטרים באופן פעיל על ידי צוותי אבטחה.
ככל שהתקפות ומשטחי התקיפה משתנים, ההגנה חייבת להיות יותר דינמית ומסתגלת. ההתמקדות הנוכחית של התעשייה ב-AI ג'נרטיבי, מעודדת צמיחה מהירה בנפח האפליקציות וממשקי API, לתמיכה במודלים של בינה מלאכותית ולמידת מכונה (AI/ML), ומוסיפה מורכבות נוספת. עסקים מודרניים זקוקים לאסטרטגיית הגנה דינמית, המתמקדת בגילוי והפחתת סיכונים, לפני שהם יסלימו לפריצות מביכות, ולעתים קרובות ניתנות למניעה.
קצב השינויים הפך את אבטחת ממשקי API קריטיים לאתגר משמעותי עבור ארגונים מכל הסוגים. צוותי ההגנה בארגון לא יודעים, לעיתים, בכמה ממשקי API הארגון שלהם משתמש, היכן הם נמצאים? ואת התאימות והסיכונים האחרים הקשורים לנתונים הקריטיים ולתהליכים העסקיים שהממשקים הללו תומכים בהם.
בעוד שהטכנולוגיה תמיד משתנה, תופעת אבטחת ה-API מדגישה את עקרונות היסוד של אבטחת סייבר. יש סיבה לכך, שמסגרות בקרה עיקריות כמו NIST מתחילות כמעט תמיד ב"זיהוי". במילים פשוטות, אתה לא יכול להגן על מה שאתה לא יכול לראות, כך שאי אפשר לנהל ביעילות את הסיכון של משטח התקפה שאתה לא מבין. שטחים מתים של API , הפכו לבעיה מהותית. מאז 2019, Gartner ואנליסטים אחרים בתעשייה, חוזים שממשקי API יהפכו לוקטור ההתקפה מספר 1, הנתונים של F5 תומכים בקביעה זו, ללא סימן להאטה.
תעשיית אבטחת הסייבר הגיבה, עד כה, בעיקר עם פתרונות נקודתיים המיועדים להיבט כזה או אחר של פיתוח API. מוצרים כאלה מציעים יכולות מגוונות אך מוגבלות, כמו גילוי API כדי למצוא ממשקי API ידועים בשימוש, או כלי סריקה ובדיקה, שיסייעו באיתור נקודות תורפה וניסיון לסגור את הפערים הללו. אבל העתיד של אבטחת ה-API אינו קבוצה של פתרונות נקודתיים שאתה משלב יחד.
היישומים מבוססי AI, של היום, מסתמכים על סידור מבוזר של מקורות נתונים, דגמים ושירותים על פני פריסות מקומיות, ענן ופריסות נקודות קצה, המחוברים יחדיו על ידי מספר גדל במהירות של ממשקי API. ועכשיו F5 מתקדמת, כדי לטפל במחזור החיים המלא של ה-API. כדי להתמודד עם אתגרים אלו החברה משיקה בדיקות קוד API וניתוח טלמטריה מתקדמים לשירותי הענן המבוזרים שלה, ויוצרת פתרון אבטחת API מקיף ומוכן לעידן ה-AI.
תוספת היכולות, שנרכשו לאחרונה מהסטארט אפ הישראלי Wib , מאפשרת זיהוי פגיעות וצפייה בתהליכי פיתוח אפליקציות, זיהוי סיכונים והטמעת מדיניות לפני כניסת ממשקי API לייצור.
השילוב של פלטפורמת Wib עם F5 Distributed Cloud API Security מספק פתרון אבטחת API מקיף הכולל:
ניתוח קוד API כדי לגלות נקודות קצה של API ולהעריך את הסיכונים שלהם, לפני שהם נפרסים בייצור. לאחר מכן, בדיקות API לאיתור פגיעויות ולאימות איומים חשודים שזוהו בניתוח קוד ותעבורה. בנוסף, הוא מספק גם ניתוח תאימות ל-API , כדי להבטיח תנוחת אבטחה נכונה של API ,המותאמת לדרישות הרגולטוריות של הלקוח. הערכת משטח איומי API, כדי לנטר את הנכסים הציבוריים של ארגון, לגבי הופעת ממשקי API חדשים ועבור אלה שנמצאים מחוץ לממשל האבטחה. עוד הוא כולל, מנוע היתוך אבטחת API ליצירת פתרון משולב בצורה חלקה שבו כל איום, פגיעות או תובנה מאומתים בכל מקורות המידע.
