จากข้อมูลของ Gartner® ระบุว่า "ทุกแอปพลิเคชั่นบนมือถือที่เชื่อมต่อเว็บสมัยใหม่ หรือแอปพลิเคชั่นที่โฮสต์บนคลาวด์ต่างใช้และแสดงให้เห็นถึง API โดย API เหล่านี้ ได้มีการถูกใช้เพื่อเข้าถึงข้อมูลและเรียกใช้แอปพลิเคชั่นในการเชื่อมต่อข้อมูล และเรียกใช้ไปยังคุณสมบัติต่าง ๆ ของแอปพลิเคชั่น API ซึ่งจะแสดงให้เห็นได้โดยง่าย แต่ก็ยากในการจำแนก และสิ่งนี้ได้ทำให้เกิดพื้นที่ในการโจมตีที่รวดเร็วมาก ซึ่งเครือข่ายและเครื่องมือในการป้องกันเว็บแบบดั้งเดิมไม่สามารถรับมือกับบรรดาภัยร้ายรูปแบบต่าง ๆ ที่ โจมตี API ได้ รวมถึงหลายรายการที่อธิบายไว้ใน OWASP API Security Top 10”
แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่น ๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชั่นที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่
- ความสามารถในการมองเห็น API ที่ครอบคลุม ในการค้นพบ API แฝงและปลอมตัวมาด้วยความแม่นยำมากที่สุด และให้มุมมองที่ทันสมัยที่สุดสำหรับทุกรูปแบบการโจมตีพื้นที่บน API
- วิธี Shift-left ที่แท้จริง - การตรวจจับ API ในซอร์สโค้ดของแอปพลิเคชั่นเพื่อระบุและแก้ไขปัญหาก่อนหน้าใน SDLC – เร็วขึ้น ด้วยต้นทุนที่น้อยลงและความเสี่ยงที่ลดลง
- การจัดลำดับความสำคัญในการแก้ไข ช่วยให้นักพัฒนาและทีม AppSec สามารถมุ่งเน้นไปที่การแก้ปัญหาที่สำคัญที่สุดก่อน โดยจัดลำดับความสำคัญช่องโหว่ของ API ตามผลกระทบและความเสี่ยงที่แท้จริง
- แนวคิดแบบองค์รวมในการรับมือความเสี่ยงของแอปพลิเคชั่น โดยการสแกนแอปพลิเคชั่นทั้งหมดด้วยโซลูชั่นเดียว โดยไม่จำเป็นต้องใช้เครื่องมือเฉพาะ API เพิ่มเติม เพื่อลดค่าใช้จ่ายที่กดดันทีมอยู่แล้ว
Emmanuel Benzaquen ซีอีโอของ Checkmarx กล่าวว่า “การพัฒนาแอปพลิเคชั่นสมัยใหม่ ขึ้นอยู่กับ API มากขึ้นเรื่อย ๆ ซึ่งเป็นเรื่องค่อนข้างยุ่งยากในการจัดเก็บ และบ่อยครั้งแหล่งข้อมูลเดียวที่สามารถจัดเก็บเอกสารของ API ได้ คืออยู่บนแล็ปท็อปของนักพัฒนา อย่างไรก็ตาม ลูกค้าองค์กรระดับโลกในปัจจุบันล้วนให้ความสำคัญในการเปลี่ยนผ่านไปยังการพัฒนาบนพื้นฐานเทคโนโลยีคลาวด์ ซึ่งเป็นความท้าทายของเราในการนำเสนอระบบโซลูชั่นเพื่อตอบโจทย์ให้กับลูกค้าองค์กรที่เน้นทำงานบนเทคโนโลยีคลาวด์ และเป้าหมายของ Checkmarx คือการรักษาความปลอดภัยทุกองค์ประกอบของทุกแอปพลิเคชั่นในลักษณะที่ช่วยให้นักพัฒนาทำงานได้อย่างมีประสิทธิภาพและลดความซับซ้อนของกระบวนการ สำหรับผู้นำ AppSec ดังนั้นสิ่งที่สำคัญคือ การรักษาองค์กรให้มีความคล่องตัว, ปลอดภัย และมีศักยภาพในการแข่งขัน”
- การค้นหา API โดยอัตโนมัติ ทั้งการระบุตำแหน่งข้อมูล API โดยไม่ต้องใช้คำจำกัดความ API ด้วยตนเองหรือการลงทะเบียนโดยทีม AppSec หรือนักพัฒนา
- เสริมความสมบูรณ์ให้นวัตกรรม API เกี่ยวกับความสามารถในการค้นพบ API ที่มีการสร้างสรรค์หรืออัปเดทขึ้นมาใหม่ เมื่อซอร์สโค้ดได้รับการตรวจสอบ หรือรวบรวมโดยนักพัฒนาอย่างที่เคยทำใน SDLC
- การจำแนก API ที่ไม่รู้จัก การเปรียบเทียบอัตโนมัติของของแอปพลิเคชั่นที่ทำโดยผ่านเครื่องมือ API เพื่อจะแยกว่า เป็นแบบที่ไม่รู้จัก แบบแฝง หรือแบบปลอมตัวมา
- การรักษาความปลอดภัย ที่เน้นมุมมองเฉพาะของ API ที่อนุญาตให้ทีม AppSec และนักพัฒนาจัดลำดับความสำคัญในการแก้ไขช่องโหว่ของ API ได้ รวมทั้งเรื่องของความเสี่ยง 10 อันดับแรกของ OWASP
- ความครอบคลุมของแอปพลิเคชั่นทั้งหมด ทั้งโซลูชั่นการทดสอบความปลอดภัยของแอปพลิเคชั่นเดียว (AST) สามารถใช้ได้กับแอปพลิเคชั่นทั้งหมด ที่อาจรวมถึง ทั้งอุปกรณ์ที่เป็น API และที่ไม่ใช่ ที่นำเสนอมุมมองแบบองค์รวม ในเรื่องของความเสี่ยงด้านความปลอดภัยและการจัดลำดับความสำคัญเรื่องการแก้ไขปัญหา หรือช่องโหว่ต่าง ๆ
Gartner® ยังรายงานด้วยว่า “การโจมตีบนแอปพลิเคชั่นกำลังเปลี่ยน ซึ่งจะย้ายไปสู่เรื่องของ API และขั้นตอนในการโจมตีที่มากขึ้น และการละเมิด การแสวงหาประโยชน์จาก API เป็นรูปแบบการโจมตีที่พบเห็นทั่วไปที่มักพบในรายงานเรื่องของการละมิดทางข้อมูลเสมอ
นอกจากนี้ ทีม DevSecOps ได้ให้ความสำคัญในเรื่องความต้องการในการปรับปรุง การทดสอบ API เพื่อการพัฒนา เพื่อหาแนวทางที่เหมาะสมในเรื่องการทดสอบ API มีการมองเรื่องแนวทางผสมผสานในการใช้เครื่องมือแบบเดิม (อย่างเช่น ข้อมูลสถิติแบบเดิม AST แบบคงที่ [SAST] และ AST แบบไดนามิก [DAST]) และโซลูชั่นที่เกิดขึ้นใหม่ซึ่งมุ่งเน้นไปที่ข้อกำหนดของ API โดยเฉพาะ)
ความคิดเห็น
แสดงความคิดเห็น