BLOG

F5 左移保护策略,确保 API 安全无忧

Chuck Herrin 缩略图
Chuck Herrin
Published February 07, 2024

API 是我们现代数字生活中隐形的中枢神经系统。API 正每天都在为我们所使用的应用提供动力:从咖啡店购买一杯咖啡,刷卡进入办公室,搭乘共享汽车与同事共进午餐,查看天气,亦或是在漫长的一天结束时在沙发上观赏影视节目。无论我们是否意识到这一点,几乎我们每天与之互动的每一个企业都依赖 API 来推动其数字业务。

API 优先的软件开发和交付方式的兴起,以无数种方式让世界变得更美好。但问题是,当应用程序和架构发生变化时,攻击面也会随之变化。传统的安全措施,比如 WAF、DDoS 和 Bot 防护仍然必不可少,但它们无法完全保护这些 API。这些安全措施是针对当时的攻击面而设计的,无法预测未来的攻击面以及过去几年 API 的快速应用所带来的变化。

作为应用和 API 安全领域的全球领导者,F5 技术几乎覆盖了全球近一半的应用程序的数据路径,为现代 Web 和移动应用程序所遭受的攻击提供了独特的观察视角。我们的分析显示,目前超过 90% 的基于 Web 的网络攻击都以 API 端点为目标,试图利用更新且较少为人所知的漏洞,而这些漏洞通常是由安全团队未主动监控的 API 所暴露。

随着攻击和攻击面的变化,您的防御策略也必须随之调整。业界目前对生成式 AI 的关注也推动了支持 AI 和机器学习(AI/ML)模型的应用程序和 API 数量的快速增长,这进一步增加了复杂性。现代企业需要一种动态防御策略,专注在风险升级成代价高昂、令人警惕且往往无法预防的漏洞之前,发现并降低风险

这些日新月异的变化使得保障关键 API 的安全成为各类企业面临的重大挑战。团队人手不足的的开发团队和运维团队往往甚至不知道公司使用了多少 API,这些 API 在哪里,以及这些接口所支持的关键数据和业务流程相关的合规性和其他风险。

虽然技术总是在不断变化,但 API 安全现象强调了网络安全的基本原则。NIST 等主要控制框架几乎总是以 "识别 "为起点,这是有原因的。简而言之,你无法保护看不到的东西,也不可能有效管理不了解的攻击面的风险。

资料来源:N. Hanacek/NIST

API 盲点已成为一个根本性问题,如今有太多的企业在 API 方面处于盲目状态。Gartner和其他行业分析师至少从 2019 年开始就预测 API 将成为第一大攻击载体,我们所观察到的数据也支持这一观点,而且没有减缓的迹象。

网络安全行业已经做出了回应,迄今为止,大多数是通过针对 API 开发某个方面的点对点解决方案来实现安全防护。这类产品提供的功能多样但有限,如 API 发现功能可查找已知正在使用的 API,扫描和测试工具可帮助查找漏洞并尝试弥补这些漏洞。

但是,API 安全的未来并不是一系列需要您自行拼凑并尝试集成的点对点解决方案。F5 分布式云服务应运而生。

要迎接公司的未来,就必须为未来做好全面的准备。

F5 预见了分布式计算和应用安全领域行业对 API 的重视,并于 5 年前开始构建一套改变游戏规则的功能,作为 F5 分布式云服务的形式推向市场。

如今,AI 驱动的应用程序依赖于分布在本地、云端和边缘部署上的数据源、模型和服务,并通过数量迅速增加的 API 连接在一起。为了帮助客户应对这些相互交织的挑战和机遇,我们很高兴宣布,F5 正在将高级 API 代码测试和遥测分析引入 F5 分布式云服务,打造业内最全面、最适合于 AI 的 API 安全解决方案。API 安全创新者 Wib 的加入,使得 F5 解决方案可以在应用开发过程中引入漏洞检测功能和可观测性;简言之,F5 可助力企业在 API 进入生产环境之前识别风险并实施策略。

与 API 安全一样,F5 分布式云平台也是为所有企业的未来发展而推出的,它具备以下这些基本属性:

  • 多云
  • API 优先
  • AI 驱动

让最好更出色

F5 分布式云 Web 应用和 API 防护(WAAP)解决方案中已经提供了强大的 API 发现和保护功能。该平台可自动为 API 创建并验证稳健的模式,通过可操作的洞察揭示 API 风险,利用 AI/ML 缓解复杂的 API 攻击等。凭借分布式云 WAAP 以及 NGINX App Protect 和 BIG-IP Advanced WAF(API 安全 — 新一代 WAF),F5 赋予了客户随时随地保护任何应用和 API 的能力。

现在,F5 正在左移,以解决整个 API 生命周期的问题。

Wib 平台与 F5 分布式云 API 安全的结合提供了业界最全面的 API 安全解决方案。

为了实现这一目标,我们正在通过以下方式增强当前的应用程序接口发现和保护功能:

  • API 代码分析,以发现 API 端点并评估其风险,然后再将其部署到生产中。
  • API 测试,以探测漏洞并验证代码和流量分析中检测到的可疑威胁。
  • API 合规性分析,以确保适当的 API 安全态势符合客户的监管要求。
  • API 威胁面评估,用于监控企业的公共资产,以发现新 API 的出现和安全治理之外的 API。
  • API 安全融合引擎可创建一个无缝集成的解决方案,在该解决方案中,每个威胁、漏洞或洞察力都会在所有信息源中得到验证。


作为 Wib 的前首席技术官和 F5 的新成员,我与团队一样,对将 Wib 功能引入 F5 分布式云服务感到兴奋,我们已经整合了我们的技术,以提供世界上有史以来最强大、最全面的 API 安全平台。

加入我们,使用世界上首个全面的应用程序和 API 安全解决方案,实现从代码到云的真正可视化和安全性,保障您的应用和 API 安全。

随时随地运行,安全无处不在 — 尽在 F5。