API安全性:不能只是下一代WAF上的附加组件
发布时间:2023-02-22 09:27:07 所属栏目:安全 来源:
导读:而这在 WAF或其演化产物 WAAP身上是无法实现的,旨在超越传统WAF基于签名的攻击防护方式,并为用户提供额外的API保护功能。从本质上看,WAAP是一种更高级的WAF方案。那么,如果企业使用了WAAP方案,是否还需要部署专
|
而这在 WAF或其演化产物 WAAP身上是无法实现的,旨在超越传统WAF基于签名的攻击防护方式,并为用户提供额外的API保护功能。从本质上看,WAAP是一种更高级的WAF方案。那么,如果企业使用了WAAP方案,是否还需要部署专用的API安全产品?在WAAP方案中所融合的API防护能力,可以实现企业所需要的整体API安全防护策略吗? 目前,WAAP方案所复盖的API安全能力主要包括API文档支持、模式分析和验证以及API资产发现,这对于保护API应用免受一系列预先设置的攻击(包括SQL注入、代码执行和DDoS攻击)至关重要。但是需要指出的是,目前的WAAP方案只能解决API安全威胁中的一部分,因为每个API应用都有自己的底层业务逻辑和功能。为了防止API被滥用,企业需要充分了解其应用流量的变化,而实际上这并不是WAF或其进化形成的产物WAAP所能够轻而易举地实现的。 因此,随着现代企业组织API应用的激增,基于WAF或WAAP的防御措施不足以应对如今更复杂和多样化的API攻击威胁。WAAP是在传统WAF方案上的发展演进,添加一些特定的API保护功能。但如果企业组织想要对所有的API安全威胁都有可见性,那仅靠WAAP方案的API防护能力是远远不够的。 API攻击的方式与传统的应用程序攻击有很大不同。随着企业组织数字化转型的深入发展,其业务系统上的API应用数量也在不断激增,改变和扩大了组织的攻击面。由于每个API应用都有自己独特的业务逻辑,所以每次API攻击都是唯一性的,攻击者会做大量的探测来发现可以利用的API漏洞。这种侦察活动可能需要几天、几周甚至几个月的执行时间。如果不借助适当的上下文信息检测,攻击者可以很轻松地在整个攻击生命周期中隐藏或伪装他们的攻击行为。 就API安全防护而言,组织需要深入和广泛的上下文分析来发现潜在的威胁,仅仅依靠WAAP来提供运行时保护会使API应用存在几个关键的安全隐患。首先,waap的上下文分析不足以识别可能的攻击行为,这意味着攻击者可以利用漏洞进行恶意操作。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐