博客

F5 向左移动以保护 API

Chuck Herrin 缩略图
查克赫林
2024 年 2 月 7 日发布

application程序编程接口(API)是我们现代数字生活的隐藏的中枢神经系统。 每天每刻,API 都在为我们所使用的应用程序提供支持,让我们能够从最喜欢的商店购买第一杯咖啡、在办公室门口打卡、搭车与同事共进午餐、查看天气,以及在漫长的一天结束后坐下来观看喜爱的电视节目。 几乎每个我们每天接触的组织都依赖 API 来推动其数字业务,无论他们是否这样认为。

API 优先软件开发和交付的兴起以无数方式改变了世界,使之变得更加美好。 但有一个问题——当您的应用和架构发生变化时,您的攻击面也会发生变化。 WAF、DDoS 和机器人防护等传统安全措施仍然至关重要,但它们不足以全面保护这些 API。 它们是针对当前的攻击面而构建的,无法预测未来的攻击面以及过去几年 API 快速采用所带来的变化。

作为应用和 API 安全领域的全球领导者,F5 技术位于全球近一半应用的数据路径中,为洞察现代 Web 和移动应用所遭受的攻击提供了独特的视角。 我们的分析表明,当今超过 90% 的基于 Web 的网络攻击都以 API 端点为目标,试图利用较新的、不太为人所知的漏洞,而这些漏洞通常是由安全团队未主动监控的 API 暴露的。

随着攻击和攻击面的变化,您的防御也必须适应。 业界目前对生成式人工智能的关注也刺激了支持人工智能和机器学习 (AI/ML) 模型的应用程序和 API 数量的快速增长,从而进一步增加了复杂性。 现代企业需要一种动态的防御策略,专注于在风险升级为代价高昂、令人尴尬且通常可预防的违规行为之前发现并减轻风险。

这些快速变化的速度使得保护关键 API 的安全成为各类组织面临的重大挑战。 已经不堪重负的开发人员和防御人员团队通常甚至不知道他们的公司使用了多少个 API、这些 API 在哪里,以及这些接口支持的关键数据和业务流程相关的合规性和其他风险。

虽然技术总是在不断变化,但 API 安全现象强调了网络安全的基本原则。 像 NIST 这样的主流控制框架几乎总是首先以“识别”开头,这是有原因的。 简而言之,您无法保护您看不到的东西,也不可能有效地管理您不了解的攻击面的风险。

信用: N. Hanacek/NIST

API 盲点已成为一个根本问题,如今有太多组织在使用 API 时处于盲目状态。 高德纳公司 和其他行业分析师至少从 2019 年起就一直预测,API 将成为第一大攻击媒介,我们的数据支持这一论断,并且没有放缓的迹象。

网络安全行业已经做出了回应,到目前为止,主要是针对 API 开发某个方面而提供的点解决方案。 此类产品提供多样化但有限的功能,例如 API 发现以查找已知正在使用的 API,或扫描和测试工具来帮助查找漏洞并尝试弥补这些漏洞。

但是 API 安全的未来并不是一组必须拼凑在一起并尝试自行整合的点解决方案。 进入F5 分布式云服务

要打造公司的未来,您必须为公司的未来做好准备。

F5 分布式计算和应用安全领域的行业领导者预见到了对 API 的这种重要重视,并于 5 年前开始构建一套改变游戏规则的功能,并以 F5 分布式云服务的形式推向市场。

当今的人工智能应用程序依赖于跨本地、云端和边缘部署的分布式数据源、模型和服务,并通过数量迅速增加的 API 连接在一起。 为了帮助客户应对这些相互交织的挑战和机遇,我们很高兴地宣布,F5 将为 F5 分布式云服务引入先进的 API 代码测试和遥测分析,从而打造业界最全面、最 AI 就绪的 API 安全解决方案。 最近从 API 安全创新者 Wib 获得的附加功能可以在应用开发过程中实现漏洞检测和可观察性,从而在 API 投入生产之前识别风险并实施政策。

与 API 安全的未来非常相似, F5 分布式云平台是为所有企业计算的未来而构建的,具有以下基本属性:

  • 多云
  • API 优先
  • 由人工智能驱动

让最好的变得更好

F5 已经在 F5 分布式云套件的 Web 应用和 API 保护( WAAP )服务中提供了强大的 API 发现和保护。 该平台自动创建并验证 API 的强大模式,通过可操作的见解阐明 API 风险,利用 AI/ML 来缓解复杂的 API 攻击等。 借助分布式云 WAAP 以及 NGINX App Protect 和 BIG-IP Advanced WAF(API 安全 - 新一代 WAF),F5 为客户提供了在任何地方保护任何应用程序和任何 API 的独特能力。

现在 F5 正在向左移动,以解决完整的 API 生命周期问题。

Wib平台与F5分布式云API安全相结合,提供了业界最全面的API安全解决方案。

为了实现这一目标,我们通过以下方式增强当前的 API 发现和保护功能:

  • API 代码分析,用于发现 API 端点并在部署到生产之前评估其风险。
  • API 测试用于探测漏洞并验证在代码和流量分析中检测到的可疑威胁。
  • API 合规性分析,以确保正确的 API 安全态势符合客户的监管要求。
  • API 威胁面评估,用于监控组织的公共资产中是否存在新的 API 以及是否存在超出安全治理范围的 API。
  • API 安全融合引擎可创建无缝集成的解决方案,其中每个威胁、漏洞或洞察均在所有信息源中得到验证。


作为 Wib 的前任 CTO 和新晋 F5er,我与团队一样对将 Wib 功能引入 F5 分布式云服务感到兴奋,并且我们已经在努力整合我们的技术,以提供世界上最强大、最全面的 API 安全平台。

加入我们,使用世界上第一个整体应用程序和 API 安全解决方案保护您的应用程序和 API,实现从代码到云的真正可见性和安全性。

随时随地运行,处处安全 — 唯有 F5。