Sehen Sie sich die On-Demand-Sessions vom Low-Code/No-Code Summit an, um zu erfahren, wie Sie erfolgreich innovativ sein und Effizienz erreichen können, indem Sie Citizen Developer weiterbilden und skalieren. Schau jetzt.


vergangenes Jahr, Gärtner prognostizierten, dass API-Angriffe im Jahr 2022 zum häufigsten Angriffsvektor werden würden. Obwohl unklar bleibt, ob dies der Fall ist, wenn man bedenkt, dass die Ausnutzung der API-Schwachstelle von Twitter die Daten von 5,4 Millionen Benutzern offengelegt hat, ist es klar, dass sie verheerend effektiv sind.

In dem Versuch, Sicherheitsteams bei der Bewältigung dieser Bedrohungen zu unterstützen, starten heute Cybersicherheits-Startups Wib kündigte die Markteinführung des angeblich branchenweit ersten API PenTesting-as-a-Service (PTaaS) an, das darauf ausgelegt ist, Schwachstellen in den Bereichen Anwendungssicherheit, API und Geschäftslogik zu testen.

Wib gab kürzlich bekannt, 16 Millionen US-Dollar aufzubringen Finanzierung und ermöglicht es Benutzern, ein vollständiges Inventar von APIs zu erstellen, Dokumentation zu erstellen und die Sichtbarkeit über die Angriffsfläche zu verbessern.

In diesem Fall bieten Penetrationstests Sicherheitsteams einen genaueren Überblick über die API-Sicherheitslage ihrer Organisation, damit sie potenzielle Einstiegspunkte identifizieren und entschärfen können, bevor Cyberkriminelle sie ausnutzen können.

Vorfall

Intelligent Security Summit

Lernen Sie am 8. Dezember die entscheidende Rolle von KI und ML in der Cybersicherheit und branchenspezifische Fallstudien kennen. Registrieren Sie sich noch heute für Ihren kostenlosen Pass.

Jetzt registrieren

Fangen spielen mit API-Sicherheit

Die Ankündigung kommt, da Angriffe auf APIs weiter zunehmen Forschung Dies zeigt, dass 94 % der Unternehmen Sicherheitsprobleme in Produktions-APIs hatten.

Erschwerend kommt hinzu, dass viele Sicherheitsteams im Dunkeln darüber sind, wie sie auf diese Bedrohungen reagieren sollen, wobei 61 % keine API-Sicherheitsstrategie haben oder nur einen grundlegenden Plan haben.

Die Wahrheit ist, dass viele Unternehmen mit der API-Sicherheit aufholen, nachdem sie Cloud Computing und Microservices eingeführt haben.

„Die meisten dieser blinden Flecken werden offengelegt, wenn Unternehmen eine API-First-Methodik annehmen und zu einer Microservice-basierten Architektur wechseln, die ihre Angriffsflächen verändert, aber ihre Abwehrmechanismen wurden nicht für diese Struktur entwickelt und haben sich noch nicht entwickelt, um sie abzudecken. sagte Chuck Herrin, CTO von Wib. „Einführung übertrifft immer die Sicherheit, und dieses Mal ist es nicht anders. Was diesmal anders ist, ist, dass API-Traffic bereits 91 % des Web-Traffics ausmacht, während die meisten Verteidiger APIs als Angriffsvektor gegenüber blind sind“, sagte Herrin.

Durch das Angebot eines speziell entwickelten Penetrationstest-Service bietet Wib Organisationen Zugang zu dem Fachwissen und den Technologien, die sie benötigen, um Bedrohungen auf API-Ebene zu erkennen.

Nach jedem Test erhalten die Sicherheitsteams einen vollständigen Bewertungsbericht der identifizierten Schwachstellen zusammen mit einer Risikoschwerepunktzahl auf der Grundlage des Cyber-Matrix-Rechners von NIST und einen Behebungsfahrplan mit Empfehlungen zur Minderung von Schwachstellen.

Überprüfung des API-Sicherheitsmarktes

Wib ist nur einer von vielen Anbietern in der globalen API-Sicherheit Marktdas von Forschern im Jahr 2021 auf 783,9 Millionen US-Dollar geschätzt wurde und voraussichtlich im Jahr 2022 einen Wert von 984,1 Millionen US-Dollar erreichen wird.

Die Organisation konkurriert mit einer Reihe von Wettbewerbern auf dem Markt, einschließlich Salzsicherheitdie in Serie D 140 Millionen US-Dollar einbrachte Finanzierung Anfang dieses Jahres und bietet eine auf künstlicher Intelligenz (KI) und maschinellem Lernen (ML) basierende Plattform zur Inventarisierung von APIs und exponierten Daten mit OAS-Analysefunktionen.

Ein weiterer bedeutender Wettbewerber ist NoName-Sicherheit, eine API-Sicherheitsplattform, die Schwachstellen und Fehlkonfigurationen identifiziert und Sicherheitsteams automatisierte Erkennungs- und Reaktionsfähigkeiten bietet. NoName Security sammelte zuletzt 135 Millionen US-Dollar als Teil einer Serie C Finanzierungsrunde im Dezember 2021.

Herrin argumentiert jedoch, dass der vielseitige Penetrationstest-Ansatz von WIB und die mangelnde Abhängigkeit von API-Datenverkehr zur Erkennung von Bedrohungen das ist, was es von diesen bestehenden Tools unterscheidet.

„Beide dieser „Einhörner“ konzentrieren sich auf eine auf dem Produktionsdatenverkehr basierende Ansicht, die eine nützliche Linse ist, aber nicht ausreicht, um blinde Flecken wie Zombie-APIs (APIs, die offengelegt sind, aber keinen normalen Datenverkehr aufweisen) oder APIS zu finden, die nicht wie erwartet kommunizieren Verkehrswege“, sagte Herrin.

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Entdecken Sie unsere Briefings.

Leave a Comment