Noname Security：API Security 的最佳選擇

在接觸 Noname Security 之前，對於 API 與 API 安全並沒有深入的了解，但是隨著積累客戶的使用案例與 API 安全相關新聞的報導，越發了解過往的網路設備無法保護 API 的商業邏輯。

若將 API 伺服器比喻為健身房，那麼 API 就是健身房當中的各種器材，會員使用器材的目的是為了達成訓練成果(取得資料)。為了防止明顯的惡意攻擊侵略健身房，我們聘請了警衛(WAF)來防範已知的攻擊。接著，我們雇傭了櫃檯人員(API Gateway)來確認使用者都是健身房的會員，而根據不同的會員等級，能使用器材也會有所限制。最後，我們需要健身教練(API Security)，來查看使用者使用器材(API)的方式是否有異常，例如: 濫用器材、使用了非授權的器材、惡意破壞器材…等等。

在安裝 Noname Security 後，客戶驚訝的發現原來公司的Web和APP使用了數量龐大的 API，並且透過整理出來的 API 清單以及有疑慮的使用者行為清單，才知道公司開發的 API 面臨什麼樣的風險。例如 : 只要將自己的身分證字號替換成他人的就能輕鬆地竊取他人的個資、有惡意的 Injection 成功繞過了 WAF 的限制、對外開放的 API 能夠連上公司內部的資料庫、對外開放的 API 能夠呼叫只對內使用的 API、有人正在一點一滴地竊取公司的資料準備後續的釣魚或攻擊行為…等等。了解了目前已知的風險以及發生的位置，資安與工程師才能開始有效率的探討，哪些風險是可控的? 又有哪些 API 是必須盡快優化的?

過去的資安設備主要防範人為疏失造成的資料洩漏，而 Noname Security 則是針對系統本身的邏輯漏洞。系統的邏輯是由人所編寫，因此難免會存在漏洞。如果駭客能夠利用這些漏洞，就能輕易竊取資料。

noname連結: https://www.gss.com.tw/noname