創立迄今超過20年的Imperva,提供的WAAP(網頁應用程式防火牆和API保護)解決方案備受國際市調機構肯定,在台灣也累積不少用戶。去年(2023年),Thales宣布收購了Imperva,不僅產品開發仍然持續,收購後的策略和技術整合更進一步凸顯了兩者產品線間的互補性。
Imperva亞太暨日本區資深技術總監周達偉指出,Imperva的產品線涵蓋了應用安全、雲端安全、資料安全等範疇。在此之前,Thales並未涉足應用安全技術,其解決方案主要集中在保護機敏資料,與Imperva的市場並無重疊,這正是Thales選擇收購Imperva的因素之一。 周達偉認為,收購的另一重要原因是兩家公司之間的技術互補。畢竟Thales和Imperva過去在市場上並無直接競爭,技術整合後的互補效益,將使得Thales在網路安全領域的戰略競爭力得以加強。尤其是在實體國防安全、交通運輸等傳統強項基礎上,融入網路安全能力,有助於Thales拓展至更廣泛的商業領域。
此外,Thales亦相當看重專業團隊的整合,周達偉說明,收購Imperva不僅是為了技術上的補充,也因為Imperva團隊對市場發展趨勢和客戶需求的了解。這種深入的市場洞察力,加上Thales的長期專案經驗,有助於兩家公司在迅速變化的市場中快速應對,尤其是受到各界關注的生成式AI應用、大數據分析等技術領域,實現快速市場進入(Time to Market)的重要性日益凸顯。
API流量已占全球網路超過七成
事實上,生成式AI應用和大數據分析領域獲得了廣泛的關注,這並非一蹴而就,而是經過長時間的技術發展所累積成果。特別是在生成式AI應用的萌芽階段,主要受益於運算能力的顯著提升,以及網路傳輸品質和速度的進步,才有能力處理龐大的資料集。
另一方面,API安全防護在當前也逐漸受到重視,這主要源於企業應用系統架構的轉變,從傳統的三層架構演進到微服務架構。周達偉說明,過去應用系統大多基於單純的南北方向網路傳輸流量,部署安全控管機制相對容易。隨著微服務架構日漸普及,應用系統的架構變得更為複雜,包括運行環境改變為容器叢集,使得應用系統的網路傳輸流量以東西方向居多。
根據Imperva日前發布的《The State of API Security in 2024》調查報告統計,API流量已佔全球網路超過71%。然而,這種廣泛使用也擴大了攻擊面,為各種商業應用場景帶來了安全挑戰。目前應用服務面臨的主要API挑戰包括影子API、API管理、業務邏輯濫用、數據洩露等問題。不僅威脅到資料的安全性與隱私性,還可能影響企業的運營效率和聲譽。
值得留意的是,針對業務邏輯的攻擊活動佔所有API攻擊的27%,較上個年度(2022)增加了10%,例如憑證填充、自動建立帳戶、資料抓取等,手法是偽裝成正常流量,藉此繞過WAF等資安技術的偵測。為了應對這些挑戰,Imperva WAAP解決方案不僅包括傳統的WAF、雲端WAF、DDoS防禦,以及進階機器人攻擊防禦,也涵蓋專為API設計的安全服務,協助建立API的可視性,以評估安全風險,進而實施防護措施來管控。
Discovery能力建立安全態勢
因應API安全威脅,增加對API生態系統的可視性,掌握每個API的所在位置與行為,才可有效地應對不同管道的威脅。API發現(Discovery)則是建立API安全態勢的首要步驟。Imperva提供的API Security,採以資料驅動方式實作API發現。周達偉指出,擁有完整且最新的API清單及其配置是基礎。這不僅涉及到識別和盤點現有的API,還包括對其配置和操作環境的深入理解。
在此基礎上,識別上下文中的敏感資料亦為必要步驟。過程包括分析API請求和回應中的資料類型,確認哪些屬於個人識別資訊(PII)或其他具敏感性資料,以便實施防護措施。此機制即使在缺乏開放API規範(OAS)文件的情況下也能有效運作。借助持續的學習機制,API Security工具可以在API更新時學習並適應API的結構變化,進而提供動態的保護。
此外,若開發團隊已提供OAS檔案,則可在文件基礎之上加強保護,確保API運行階段的安全性。包括利用OAS文件來精細調整安全設置,以適應不同安全等級需求的API端點。
排除OWASP十大API安全風險
Imperva設計的WAAP解決方案,不僅保障了企業營運環境的API安全,也可確保使用者體驗。Imperva採用機器學習演算模型來建立正常行為準則,輔助企業排除常見的潛在風險,例如識別物件層級授權(BOLA)失效等問題。失效的物件層級授權是由OWASP在2023年發布的十大API安全風險之一,主因是應用程式無法正確實施對特定物件或資源的授權控制,因而導致攻擊者未經授權地合法存取他們不應存取的物件。
周達偉指出,Imperva的API Security機制,可藉由行為分析識別異常。例如電子商務平台,攻擊者可能嘗試透過操控請求(Request)的物件ID來存取機敏資料,API Security技術會檢查瀏覽器請求,識別API端點及其模式,並利用腳本來操作API端點,以阻止攻擊者的惡意行徑。
物件層級授權原本是用於確保只有授權使用者才能存取特定資料的物件。這是透過使用者ID、角色ID、物件ID等角色的分類,搭配具有存取特定資料物件的權限,以免遭未經授權的存取和濫用。攻擊的初始階段是先行研究與找到物件層級授權的漏洞。此過程通常包括應用程式如何建構其URL或API端點的盤查。
由於應用程式的URL或API端點中直接包含了能夠指向特定資料或物件的識別資訊(例如資料庫中的一個實體或特定資源的ID),可能會導致資安風險,因為它可讓惡意人士運用簡單地修改這些參數來存取或操控不應該被公開的資料。
實施適當的存取控制是防止物件層級授權攻擊的第一步。這意味著確保存取特定物件的每個請求都得到授權。當使用者發出請求時,應用程式應始終檢查使用者是否有權存取所請求的物件。Imperva設計視覺化操作介面,可讓IT或資安維運團隊快速識別與管控OWASP列出的前十大API安全風險。並且特別設計了檢測工具和流程,以確保在API進入營運環境前,就能識別並修復這類漏洞。