あなたが寝ている間に見知らぬ人があなたのベッドの下から現れ、悪質な行為を行い、その後、彼がそこにいたという痕跡を残さずに立ち去った場合のあなたの反応を想像してみてください.これは、すべての住居の鍵を持っているアパートのコンシェルジュであるセザールが、テナントの生活を混乱させることを約束しているスペイン映画「スリープ タイト」の筋書きです。
このシナリオは現実にはばかげているように聞こえるかもしれませんが、実際には、このような状況は今日のビジネスの世界で毎日発生しています。
API 攻撃が 3 倍に増加し、アラームが発生
実際のビジネスの世界では、「見知らぬ人」も企業データベース内で検出されません。そして、これらの重要なデータベースへのアクセスを許可するキーを保持しているのは、アプリケーション プログラミング インターフェイス (API) です。今日のデジタル時代において、API はデータおよび接続サービスを提供するための重要な経路となっています。たとえば、E コマース Web サイトでは、API インターフェイスを使用して、システムがリアルタイムの在庫および物流情報を取得できます。
デジタル トランスフォーメーションのコンテキスト内で、ますます多くの API が企業と共有されています。 API の共有が増加するにつれて、その配布に伴うセキュリティ リスクも増加します。 CDNetworksによると 2021 年の Web セキュリティの現状によると、2021 年の API 攻撃の数は、2020 年に比べて 200% 以上増加しました。この爆発的な 3 倍の急増は、API 攻撃がサイバー犯罪者にとって貴重な標的であったことを明らかにしています。
ガートナーは、2022 年までに API 攻撃が最も頻繁な攻撃ベクトルとなり、エンタープライズ Web アプリケーションのデータ侵害を引き起こし、2024 年までにデータ侵害に関連するセキュリティ問題の脅威が 2 倍になると予測しています。データ侵害に加えて、攻撃者は API データを操作し、API インターフェースを攻撃してエンタープライズ サーバーを過負荷にすることも知られており、これらはすべてオンライン サービスを危険にさらします。
現在企業が直面している 3 つの最大の課題
API リソースに対するリスクを認識するだけでは十分ではありません。 Twitter、Facebook、Instagram などの有名な企業が API 攻撃の餌食になっているという事実は、企業が API セキュリティ体制を強化するための警鐘となっています。自分自身や顧客が脆弱性にさらされることを恐れて、新しいアプリケーションのリリースを延期する企業さえあります。問題は、今日の企業が API リソースを保護および管理して、イノベーションとセキュリティの理想的なバランスを実現するにはどうすればよいかということです。
課題 1: 管理する必要のある膨大な量の API インターフェイス
典型的なシステムに何千もの API があることは珍しいことではありません。 API リビジョンの急速な開発と頻繁な反復により、「ゾンビ」API と呼ばれる新しい脅威が発生しています。ゾンビ API は廃止され、無効になっていると想定されている API ですが、実際にはアプリケーション インフラストラクチャ内に潜んでいます。これらは、悪意のある悪用者によって悪用され、データを盗んだり、不正なトランザクションを実行したり、組織のシステムにアクセスしたりする可能性があります。このような悲惨な状況を考えると、不適切な資産管理が OWASP の API セキュリティ リスクのトップ 10 の 1 つに挙げられたのも不思議ではありません。
ゾンビ API の根本的な原因は、不適切な資産管理にまでさかのぼることができます。この原因に対処するために、企業はパブリック インターフェイスとプライベート インターフェイスを含む API インベントリ全体を監視できるフルサイクル管理ツールを必要としています。
課題 2: 従来の防御戦略は偽陽性または偽陰性につながる
Web アプリケーション攻撃とは異なり、ほとんどの API 攻撃は悪意のあるコード インジェクションなしで開始されます。むしろ、これらの攻撃は、構成パラメータの変更や非常に複雑なデータ構造の作成など、API 構成に固有の脆弱性を悪用することがよくあります。これらの脆弱性は API 構成に起因するため、従来の防御戦略では、これらの脆弱性を悪用する脅威を特定して阻止することは困難です。さらに、従来の防御戦略は、偽陽性または偽陰性につながる可能性があります。このため、企業は API 攻撃を直接狙う多面的な防御戦略を採用する必要があります。
課題 3: トラフィックが多い時間帯のパフォーマンスの低下
API リソースは、多くのシナリオと多くの業界に適用できるようになりました。たとえば、一部の E コマース オンライン プラットフォームでは、ブラック フライデーやダブル イレブンなど、数日間続くショッピング フェスティバルが定期的に開催される場合があります。そのようなフェスティバルが促進するトラフィックを処理する上でサーバーが十分に堅牢でない場合、サーバーがクラッシュする可能性があります.したがって、組織が大量のトラフィックを分散する能力を強化して、同時トラフィックを処理し、サイバー攻撃をエッジで阻止できるようにすることが不可欠です。
フルサイクル API 管理ソリューションの構築
この議論から、次のことがわかります。 API インベントリ管理、セキュリティ、および保護、および可視性と分析は、エンタープライズ API リソースを保護するための重要な要素です。そのために、CDNetworks は完全なライフサイクル管理ソリューションを提供します。 API Shield - API保護 三次元アプローチを使用してこれらの重要な要因に対処します。
在庫管理
API インベントリの管理に関しては、API Shield は高度なログ分析テクノロジを使用して未知の API アセットを検出します。要求パラメーターとそれに対応する API URL を特定することにより、CDNetworks は企業が失われた連絡先の API 資産を見つけ、API リソースを定義し、ライフサイクル全体にわたってプライバシーやその他の重要な要素を管理するのを支援できます。このようにして、API シールドは、連絡先が失われた API アセットが将来的に新しい攻撃ベクトルとして現れた場合の潜在的なリスクを排除します。
セキュリティ保護
すべての API 呼び出しが正当であることを保証するために、API Shield は複数のテクノロジーを使用して、認証、マルチレベル コンプライアンス検出、リクエストおよび同時リクエスト メソッドの制限などのツールを実行し、悪意のあるパラメーターを特定してから、疑わしいユーザーをブロックします。 API Shield は、観察されたリスクと脅威の種類に基づいて、他のプロアクティブなアクションも実行します。 API Shield は、CDNetworks の全体的なソリューションの 1 つとして、以下と連携して動作するように設計されています。 Application Shield
(マルチレイヤWAF) (DDoS 軽減と WAF) および Bot Shield - Bot対策 (ボット管理)包括的なワンストップクラウドWebアプリケーションとAPI保護を提供します(WAAP) 解決。
可視性と分析
API Shield は、企業が傾向を特定し、ビジネス上の意思決定、調査、およびセキュリティ戦略を導くための視覚的なダッシュボードを提供します。 API Shield を使用すると、CDNetworks プラットフォームを通過する API トラフィックを分析し、API 分布、API 要求の傾向、要求元の分布、消費者の呼び出し、リスク イベントの傾向など、多くの観点からコンテキスト内で関連付けることができ、可能な限り正確な結果を得ることができます。そうすることで、企業は API の脅威が顕在化する前に阻止すると同時に、どの攻撃者が最大のリスクをもたらすかを特定できます。
今日まで、CDNetworks API Shield は無数の組織のビジネスとデータを保護してきました。 電子商取引, ファイナンス、 と 出張旅行 公務、医療などに。 CDNetworks のセキュリティ プラットフォームは、企業あたり 1 日あたり 600,000 件を超える悪意のある API 呼び出しを効果的にブロックし続けています。 API リソースとビジネスを保護する方法の詳細については、お問い合わせください。 無料トライアル CDNetworks の API Shield の
CDNetworksについて
世界をリードする CDN (コンテンツ配信ネットワーク) およびエッジ サービス プロバイダーとして、CDNetworks は、比類のない速度、超低遅延、厳格なセキュリティ、および信頼性を備えた、完全に統合されたクラウドおよびエッジ コンピューティング ソリューションを提供します。当社の多様な製品とサービスには、Web パフォーマンス、メディア配信、エンタープライズ アプリケーション、クラウド セキュリティ、およびコロケーション サービスが含まれます。これらはすべて、ビジネスの革新を促進するように設計されています。
