一種全面的 API 安全解決方案,旨在幫助組織有效管理 API 資產,同時降低風險。
印度諾伊達2025年4月24日 /美通社/ — 全球領先的企業軟件解決方案供應商 HCLSoftware 今天宣佈與 Salt Security 攜手推出 HCL AppScan API Security。此全面的 API 安全性計劃,讓組織有效管理所有 API 資產,並確保資產能持續提供商業價值,不會引入更高層級的風險。
HCL AppScan API Security 旨在通過經專家訓練的人工智能探索平台,減少安全性盲點:平台可查找和清查所有 API 資產,確保在運行和開發中的企業 API 標準,並與動態分析無縫整合,以精確找出和修復漏洞。
應用程式編程介面 (API) 正在迅速改變數碼環境,API 現在佔所有網頁流量的 50% 以上。API 可以促進應用程式之間的順暢通訊,現在已依賴於推動雲端服務、流動應用程式和物聯網 (IoT) 裝置。但所有這些流量同時也讓 API 成為可能被惡意攻擊者利用的主要攻擊媒介,組織現在面臨全新的安全挑戰。
HCLSoftware 執行副主席 Rajesh Iyer 表示:「對 API 的依賴日益增加,令強大的 API 安全性成為董事會層級的關注,所有客戶都希望改善其安全狀態並保護其數碼生態系統。
2023 年,無論是 API 攻擊的總數,還是與 API 漏洞相關的資料外洩比例,都比前幾年大幅增加,而且趨勢方興未艾。在 Salt Security 最近發表的 2024 年 API 安全狀態報告中,37% 的受訪機構表示曾發生 API 相關的安全事故,是前一年的兩倍。僅在 2024 年的前六個月,各間新聞機構就報導了多個行業的大規模 API 相關攻擊,包括社交媒體和檔案分享平台、科技公司和電子商務網站等等,導致數百萬使用者的資料外洩。
API 已經無處不在,許多公司甚至不知道自己正在使用多少 API。中型和大型組織的數目,可輕易達到數百個之多。API 現在在每個行業中都扮演了多個角色,最顯然在功能方面,例如網上購物、媒體交付、付款閘道、工作流程自動化、微服務、軟件開發等功能, 此類例子不勝枚舉。這表示保護 API 安全的第一步,就是收集完整且精確的使用清單。
HCL AppScan 技術總監 Colin Bell 表示:「HCL AppScan API Security 的主要功能之一是持續發現和記錄組織的整個 API 庫存,使安全團隊能夠深入了解其整體安全狀態。」
API 攻擊的上升趨勢促使開放式 Web 應用程式安全項目 (Open Web Application Security Project; OWASP) 創造了 OWASP API 安全十大排行榜:一份特別與 API 相關的最重要安全風險清單,旨在幫助組織了解並減輕與 API 弱點相關的風險,其中包括組織在保護 API 時應專注的關鍵領域,例如破壞的物件層級授權 (Broken Object Level Authorization; BOLA)、過度資料曝光,以及安全性錯誤設定等。根據 Salt Security 的 2024 年 API 安全狀態報告,80% 的攻擊嘗試利用一個或多個 OWASP API 前 10 方法,但只有大約 58% 受訪者將其安全性努力集中在這個列表上。
Salt Security 行政總裁暨聯合創辦人 Michael Nicosia 表示:「隨著 API 安全事故和法規監督的增加,機構需要在其 API 生態系統中讓合規性持續下去。透過結合 HCL AppScan 強大的掃描功能與 Salt Security 的即時管理和攻擊面的可見性,包括我們發現的無文件和影子 API,我們提供統一的洞察分析和對整個 API 環境更深入的能見度。這使機構能夠在整個 API 生命週期中主動識別風險並維持遵守基本標準,例如支付卡產業數據安全標準 (PCI DSS)、通用數據保護條例 (GDPR) 和健康保險流通與責任法案 (HIPAA)。」
HCL AppScan API Security 可確保 100% 涵蓋 OWASP API 安全十大名單,並為組織提供眾多功能,以實現更強大的 API 安全,包括:
- 透過經專家訓練的人工智能技術 API 探索平台,減少安全性盲點
- 發現和清查所有 API,包括影子和殭屍 API
- 確定傳輸過程中的敏感資料,並確保遵守相關法規(例如 GDPR、HIPAA 和 PCI DSS)
- 將 API 連結至擁有者和功能
- 深入了解整個 API 環境的安全狀況
- 在以人工智能為基礎的洞察分析協助下,可評估風險最高的 API 資產並排定優先順序,以確保運行時和開發過程中的企業 API 標準
- 使用預先建立的政策範本和廣泛的 API 政策庫,採用業界最佳做法
- 整合 API 特定的 DAST 漏洞測試,並使用最新規格、商業邏輯和 API 組態資料,以提高準確性
有關 HCL AppScan API Security 的更多資訊,請瀏覽:https://www.hcl-software.com/appscan
HCLSoftware 簡介
HCLSoftware 是軟件創新的全球領導者,也是 HCLTech 的軟件部門。我們在各個行業中開發、行銷、銷售和支援轉型解決方案,包括商業與產業、智能營運、全方位體驗、資料與分析,以及網路安全。我們對客戶成功的承諾,以及誠信、包容、創造價值、以人為中心和社會責任等核心價值觀,推動我們提供一流的軟件產品,使機構能夠實現目標。憑藉豐富的開拓精神,HCLSoftware 為 20,000 多間機構提供服務,其中包括大部分《財富雜誌》100 強和近一半《財富雜誌》 500 強機構。進一步了解我們如何助您達成目標,請瀏覽 http://www.hcl-software.com/www.hcl-software.com。