GSS資安電子報 0219 期 【全新 Checkmarx API 安全解決方案：全面保障 API 和 SDLC 的安全】

　　從銀行、零售和運輸到物聯網、自動駕駛車輛和智慧城市，API 在現代應用程式、SaaS 和 Web 應用程式中扮演著重要角色，並且可以在與客戶、合作夥伴和內部應用程式中找到。API Security 已是應用系統安全的基本要求，由於 API 從本質上會暴露應用程式邏輯和敏感數據，例如 : 個人識別資訊（PII），因此它們越來越成為攻擊者的目標。如果沒有安全的 API，快速創新就將變得不可能實現。

　　API Security專注於理解並減輕應用程式介面接口（API）的獨特弱點和安全風險的策略和解決方案。

2023 年 API Security TOP 10

　　以下是 2023 年版本的預覽：

• API1：2023 - 不安全的物件授權
  API 往往會公開處理物件識別碼的端點，造成物件層級存取控制問題的廣泛攻擊面。在使用使用者 ID 存取資料來源的每個函數中都應考慮物件級授權檢查。
• API2：2023 - 不完整的身份驗證機制
  身份驗證機制通常實做不正確，從而使攻擊者能夠破壞身份驗證令牌或利用實施缺陷暫時或永久冒用其他用戶的身份。損害系統識別客戶端/使用者的能力，就會損害 API 的整體安全性。
• API3：2023 - 不安全的物件屬性授權
  此類別結合了API3：2019 過多的資料外洩和API6：2019 - 批次分配，重點關注根本原因：物件屬性層級的授權驗證缺乏或不正確。這會導致資訊暴露或被未經授權的各方操縱。
• API4：2023 - 使用資源未受限制
  滿足 API 請求需要網路頻寬、CPU、記憶體和儲存等資源。其他資源（例如電子郵件/簡訊/電話或生物識別驗證）由服務提供者透過 API 整合提供，並按請求付費。成功的攻擊可能會導致拒絕服務或營運成本增加。
• API5：2023 - 不安全的功能授權
  具有不同層次結構、群組和角色的複雜存取控制策略，以及管理功能和常規功能之間不明確的分離，往往會導致授權缺陷。透過利用這些問題，攻擊者可以存取其他使用者的資源或管理功能。
• API6：2023 - 存取敏感業務流程未受限制
  易受此風險影響的 API 會暴露業務流程（例如購買門票或發表評論），而不會補償該功能如果以自動化方式過度使用可能對業務造成的損害。這不一定來自實作錯誤。
• API7：2023 - 伺服器端請求偽造
  當 API 在未驗證使用者提供的 URI 的情況下取得遠端資源時，可能會出現伺服器端請求偽造（SSRF）陷。這使得攻擊者能夠強制應用程式將精心設計的請求發送到意外的目的地，即使受到防火牆或 VPN 的保護也是如此。
• API8：2023 - 安全設定有缺陷
  API 和支援它們的系統通常包含複雜的配置，旨在使 API 更加可自訂。軟體和 DevOps 工程師可能會錯過這些配置，或者在配置時不遵循安全最佳實踐，從而為不同類型的攻擊打開了大門。
• API9：2023 - 資產管理不當
  API 往往比傳統 Web 應用程式公開更多端點，因此正確且更新的文件非常重要。正確的主機清單和已部署的 API 版本對於緩解諸如已棄用的 API 版本和暴露的偵錯端點等問題也很重要。
• API10：2023 - APIs 的不安全地使用
  開發人員更傾向於信任從第三方 API 收到的數據，而不是使用者輸入，因此傾向於採用較弱的安全標準。為了破壞 API，攻擊者會尋找整合的第三方服務，而不是嘗試直接破壞目標 API。

關於 Checkmarx API Security

　　業界首個真正的左移 API 安全解決方案甚至可以公開影子（shadow） API 和殭屍（zombie） API，提供最全面的可用 API 清單並提供建議的漏洞修復順序。

　　內華達州拉斯維加斯和拉馬特甘– 2022 年 8 月 10 日全球領導者 Checkmarx 宣布推出 Checkmarx API Security –  以開發人員為中心的應用程式安全測試（AST）解決方案，這是第一個真正的「左移」API 安全解決方案。 Checkmarx API Security 以 Checkmarx Fusion 的發佈為基礎，該 Fusion 對來自不同 AppSec 引擎的漏洞資料進行優先排序和關聯，Checkmarx API Security 作為業界領先的應用程式安全平台 Checkmarx One 的一部分提供。 開發人員工作流程的解決方案甚至可以對影子 API 和殭屍 API 進行清查，作為最全面的清查和修復解決方案的一部分，以保護整個 API 生命週期的安全。

　　根據 Gartner® 的說法，「每個互聯行動、現代 Web 或雲端託管應用程式都使用並公開 API。 這些 API 用於存取資料和呼叫應用程式功能。 API 很容易暴露，但很難防禦。 這造成了一個巨大且不斷增長的攻擊面，導致公開的 API 攻擊和違規事件數量不斷增加。 傳統的網路和 Web 保護工具無法防範 API 面臨的所有安全威脅，包括 OWASP API Secutity Top 10 中所描述的許多威脅。」

　　雖然其他 API 安全產品只能發現已存在生產中部署的 API，但 Checkmarx API Security 可以在軟體開發生命週期（SDLC）的早期解決安全性問題。 這種差異化獨特地實現了：

• API 的全面可視性：透過最準確和最新的整個 API 攻擊面視圖來發現影子 API 和殭屍 API。
• 真正的左移方法：偵測應用程式原始碼中的 API，以便在 SDLC 中儘早識別和修復問題 - 速度更快、成本更低、風險更低。
• 優先修復：使開發人員和 AppSec 團隊能夠根據 API 漏洞的實際影響和風險確定其優先級，從而首先專注於解決最關鍵的問題。
• 全面了解應用程式風險：使用單一解決方案掃描整個應用程式，無需額外的 API 特定工具，從而減少已經壓力重重的 AppSec 團隊的開銷。

　　「現代應用程式開發越來越依賴 API，而 API 是出了名的難以管理。 一般來說 API 文件僅存放於開發人員的筆記型電腦上。」Checkmarx 執行長 Emmanuel Benzaquen 說：「我們的全球企業客戶正在專注於向雲端原生應用程式開發的過渡，但他們的工具只能解決雲端原生開發帶來的部分 API 挑戰。 Checkmarx 的目標是確保每個應用程式的每個元件的安全，使開發人員保持高效並簡化 AppSec 領導者的流程，從而保持其組織的敏捷、安全和競爭力。」

　　Checkmarx API Security 採用獨特的、以 API 為中心的視角來解決問題，提供：

• 自動 API 探索：自動識別 API 端點，無需 AppSec 團隊或開發人員手動定義或註冊
• 完整的 API 庫存：當開發人員在 SDLC 中儘早導入或編譯原始碼時，能夠發現新建立或更新的 API
• 未知 API 識別：自動將應用程式的完整 API 庫存與其 API 文件進行比較，以識別未知、影子和殭屍 API
• 整個應用程式覆蓋：針對整個應用程式的單一應用程式安全測試（AST） 解決方案，可能包括基於 API 和非 API 的元件，提供安全風險的整體視圖和漏洞修復的優先順序

　　Gartner ： 「對應用程式的攻擊正在轉向 API，且攻擊速度不斷加快。 API 濫用和漏洞利用是一種常見的攻擊類別，可能導致資料外洩。 DevSecOps 團隊將注意力集中在開發中改進 API 測試的需求上。 為了確定 API 測試的最佳方法，他們正在尋求傳統工具（例如靜態應用程式安全測試 [SAST] 和動態應用程式安全測試 [DAST]）和專門針對 API 要求的新興解決方案的組合。

關於 Checkmarx

　　Checkmarx 不斷突破應用程式安全（AppSec）測試的極限，為世界各地的開發人員提供無縫且簡單的安全性，同時為 CISO 提供他們所需要的信心和控制力。 作為 AppSec 的領導者，Checkmarx 提供業界最全面的 AppSec 平台 Checkmarx One，該平台為開發人員和安全團隊提供無與倫比的準確性、覆蓋範圍、可見性和指導，以降低現代軟體所有元件（包括專有程式碼、開源、API）的風險和基礎設施即程式碼。 全球超過 1,800 家客戶（包括近一半的財星 50 強企業）信任 Checkmarx 安全技術、專家研究和全球服務，以及安全地優化開發速度和規模。