API安全性 不可以只是下一代WAF上的附加组件

被赋予"新一代WAF"的名号，WAAP（Web应用程序和反制平台）如此命名，旨在超越传统WAF基于签名的攻击防护方式，并为用户提供额外的API保护功能。从本质上看，WAAP是一种更高级的WAF方案。那么，如果企业使用了WAAP方案，是否还需要部署专用的API安全性产品?在WAAP方案中所融合的API防护能力，可以实现企业所需要的整体API安全防护策略吗?

目前，WAAP方案所覆盖的API安全能力主要包括了API文档支持、模式分析和验证以及API资产发现，这对于保护API应用免受一系列预先设置的攻击(包括SQL注入、代码执行和DDoS攻击)至关重要。

具体来说，WAAP通常缺乏上下文和智能驱动的能力，因此难以实现以下防护能力：

1、WAAP无法监控较长时间的API攻击

API攻击的生命周期一般很长，因为攻击者需要不断地探测API，以发现可被利用的漏洞。由于WAAP方案缺乏对长期业务活动的可见性，因此它们无法发现恶意行为者为攻击API所进行的持续性侦察活动。

2、WAAP无法识别API的行为异常

除了随时间建立的可见性，API安全解决方案还必须能够精确识别与API攻击活动相关的异常行为，包括扩展侦察活动、API滥用以及业务逻辑操纵攻击。许多API应用都在假设存在业务逻辑缺陷和滥用可能性的情况下运行。

3、WAAP缺乏主动学习能力

基于人工智能的安全解决方案，最大特点就是可以从各种遇到的安全问题中主动“学习”。在安全系统中有效地使用这种先进的学习能力可以更准确实际的地自动化检测并驱动更经济实惠的有效的自然灾害响应措施。

4、WAAP不能辨别用户的意图

云级、成熟的AI和ML模型可以分析大量的数据和流量，在大量的结构和行为属性中搜索签名和模式。但这并非WAAP所能做的事情。由于API经常被滥用，即便人们完全按照设计使用它们。在大多数情况下，它们只是一个简单的工具，用于确定哪些数据可以被访问，哪些数据不可以被访问。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!