九大熱門API安全工具
隨著云計算和移動計算的快速普及,API安全已經成為當下企業和互聯網面臨的最嚴峻的網絡安全挑戰之一,根據Gartner的研究,2022年,超過九成Web應用程序遭到的攻擊來自API,而不是人類用戶界面。
API安全同時也是非常獨特的挑戰。首先,API是與企業業務關聯最緊密,暴露和攻擊風險最高,防護難度最大的技術組件之一,帶來了很多傳統安全技術無法解決的挑戰(例如API沒有客戶端組件)。
其次,API普遍存在安全漏洞。由于API開發的標準很少,而且許多標準都是唯一的,因此API經常包含可利用漏洞。攻擊者發現,攻擊API通常比直接攻擊程序、數據庫、應用程序或網絡要容易得多。
最后,API的另一大危險是過度許可。為了讓API不間斷運行,程序員經常給API授予較高權限。黑客一旦入侵API,就可以使用這些高權限來執行其他操作。這已經成為一個嚴重問題,根據Akamai的研究,針對API的攻擊已經占全球所有賬戶竊取攻擊的75%。
API安全工具興起
鑒于API安全問題的嚴重性和緊迫性,近年來API安全工具的數量正在快速增加。目前市場上有數十種API安全商業工具以及數百種免費或開源工具。這些工具的分類與普通網絡安全工具類似,但實際上是專門為API的獨特安全挑戰設計的。
通常,根據API安全防護生命周期(上圖),API安全工具主要分為、檢測、防護與響應、測試、發現、管理幾大類;少數廠商宣稱能提供完整覆蓋API安全周期的平臺工具,但如今最流行的API安全工具主要還是集中在“防護”、“測試”和“發現”三個環節:
- 防護:即保護API免受惡意請求攻擊的工具,有點像API防火墻。
- 測試:能夠動態訪問和評估特定API以查找漏洞(測試),并對代碼進行加固。
- 發現:還有一些工具能掃描企業環境,識別并發現其網絡中存在(或暴露)的API資產。
由于API網絡安全工具的數量和增長速度,企業評估API工具的難度不斷加大。近日CSOonline基于全球用戶和商業評論,評選出了目前九大熱門頂級API安全工具。雖然這個列表難免以偏概全、掛一漏萬,但是依然能給尋找合適API安全工具的企業提供一定的參考:
以下是對全球市場九個熱門安全工具(包含免費和開源工具)的點評:
一、APIsec
作為最受歡迎的API安全工具之一,APIsec幾乎是完全自動化的,非常適合剛開始提高API安全性的組織。APIsec能掃描生產環境中的API并測試常見漏洞,例如腳本注入攻擊。但它也會對每個API進行徹底的壓力測試,以確保它針對較為隱蔽的攻擊(例如業務流程攻擊)進行強化。如果發現問題,APIsec將標記問題以及安全分析師的詳細分析結果。
在創建API時,開發人員也可以主動使用APIsec。這樣,任何漏洞都可以在API上線之前被消除。此外,APIsec還會在API被部署后持續監視其安全狀況。
二、Astra
Astra是一個開源工具,用戶需要從GitHub下載Astra并安裝在本地環境中。雖然作為開源工具意味著用戶能獲得的支持有限,但是Astra在管理和保護非常特定類型的API方面擁有極佳的用戶口碑。
Astra主要防護目標是具象狀態傳輸(REST)API,由于此類API經常更改,因此極難測試和保護。企業可將Astra集成到持續集成和持續交付(CI/CD)管道中來提供幫助。Astra可確保經常更新變化的REST API不受常見API漏洞的影響。
三、AppKnox
AppKnox以其強大的用戶支持能力而著稱。該平臺有非常易用的界面,同時還在用戶部署和使用時提供周到的服務支持。由于易于部署和使用,AppKnox受到大量擁有小型安全團隊的企業的青睞。
安裝后,AppKnox將測試API是否存在常見問題,例如HTTP請求漏洞、SQL注入等。它還會掃描與API連接的所有資源,以確保它們不會成為黑客的攻擊路徑。
四、Cequence統一API防護平臺
Cequence統一API防護平臺(Cequence Unified API Protection)專為大型企業環境設計,這些企業可能需要每天處理數十億個API請求。該防護平臺首先會檢測企業環境中的所有API,然后將它們歸檔到API資產清單中。此后,可以對API進行常規漏洞測試,安全團隊也可自定義需要在API分組上執行的特定測試。這不僅對于保護API非常有幫助,而且有助于滿足政府或行業的合規要求。
Cequence還能設置自動保護或操作,以響應攻擊或與API的可疑交互。由于Cequence無需借助防火墻就能自動處理此類問題,可以減輕這些外圍安全設備的負載,并加快響應時間,從而提供對API威脅接近實時的防護。
五、Data Theorem API Secure
Data Theorem API安全工具可以清點網絡、云、應用程序或任何其他環境中存在的每個API。對于想要增強API安全性但不知道從哪里開始,甚至不知道自己正在使用多少API的企業來說,該工具非常有用。API Secure還可以使API清單保持最新狀態,從而在部署任何新API時快速查找它們。
完成API發現流程后,API Secure還能像黑客一樣測試每個API的漏洞。然后,它可以標記該API,以便人工自行檢查或自動修復許多漏洞。
六、Salt Security API保護平臺
Salt Security API保護平臺非常先進,是最早充分利用人工智能和機器學習來檢測和阻止API威脅的平臺之一。該平臺通過收集整個網絡中的API流量、分析對API的調用以及API正在執行的響應來檢測和響應API威脅。然后,Salt Security API將本地采集數據與存儲在云端大數據引擎中的流量數據進行比較。最后,它可以阻止大多數攻擊并突出顯示可疑活動,提醒人類安全團隊或根據其設置采取行動。
隨著時間的推移,Salt Security API保護平臺會持續學習,它檢測API威脅的時間越長,識別的準確性就越高。
七、Noname Security
Noname Security在支持大型企業和大型企業環境中建立了良好的聲譽。據報道,20%的財富500強公司使用該公司的API安全工具。Noname Security API安全工具能分析通過API移動的流量數據,提供超越某些平臺提供的標準API漏洞檢查保護能力。然后,該工具還能利用人工智能和機器學習來搜尋惡意活動。
Noname Security的強大之處是能夠測試通用和非標準API。例如,它完全支持HTTP、RESTful、GraphQL、SOAP、XML-RPC、JSON-RPC和gRPC API。通過分析流量數據,它甚至可以查找、記錄和保護不受API網關管理的API,或者不遵循任何標準協議的自行開發的API。
八、Smartbear ReadyAPI
Smartbear ReadyAPI主要面向開發環境,不僅可以用于在API開發階段測試安全漏洞,還可以監控其性能。例如,開發人員可以看到如果API遇到大量數據會發生什么,這也可能會導致安全問題。
作為測試的一部分,用戶可以配置在開發中向API投放的流量類型,ReadyAPI可以從組織的網絡中捕獲實際流量,然后將其用于非常真實的測試。ReadyAPI原生支持Git、Docker、Jenkins、Azure DevOps、TeamCity等。
九、Wallarm端到端API安全平臺
Wallarm端到端API安全平臺主要面向存在大量API的云原生環境,但也可以保護存在于本地設備的API。該平臺宣稱能防范針對API的任何類型的威脅,從OWASP頂級API漏洞列表中的威脅到特定威脅,例如通常針對API的憑據填充工具。
Wallarm還可以幫助緩解分布式拒絕服務(DDOS)攻擊和bot偵察與攻擊。鑒于當今互聯網上的大部分流量都由bot組成,這是該安全工具中一個不錯的功能和賣點。
該平臺還提供了基于用戶流量的,對企業全域API狀態的深入分析和報告。這不僅有助于企業深入了解API安全性,還可以幫助企業了解如何使用API以及哪些地方需要改進。Wallarm的報告功能還對安全以外的其他部門(例如開發和業務部門)有所幫助,是一個不錯的增值功能。
