П.О.
Безопасность

Компания Webmonitorex разработала новые продукты для защиты API (интерфейс прикладного программирования). Теперь четыре продукта поставщика обеспечивают комплексную защиту веб-приложений. Расширение продуктовой линейки компании обеспечили три самостоятельных продукта, выпущенных в дополнение к уже известному WAF (Web Application Firewall).

«ProAPI Framework» с компонентами «Обнаружение утечек API», «Защита ProAPI» и «Тестирование ProAPI» был создан для реализации подхода API First при создании веб-приложений. Сегодня эта текущая тенденция приоритетного развития продуктов набирает обороты и распространяется на все отрасли экономики. Это связано с увеличением количества атак на веб-приложения российских компаний. API, являющиеся частью этого, также подвергаются массированным атакам. Быстрое обнаружение уязвимостей и ошибок в API дает отечественным компаниям преимущество перед действиями киберзлоумышленника. Поэтому стоит присмотреться к новым российским продуктам класса API Security.

«Структура ProAPI»

Продукт «Структура ProAPI» Ранее представленный в виде модуля в составе платформы Webmonitorex, теперь его можно использовать и реализовывать отдельно. Этот продукт обеспечит возможность наблюдения и отображения всех API, доступных в инфраструктуре, в виде спецификации OpenAPI на основе анализа трафика, поступающего к конечным точкам.

С помощью этого продукта вы сможете:

  • Определите общедоступные и внутренние API
  • Узнайте об API, через которые передается конфиденциальная информация, например персональные данные.
  • Фильтрация атакованных конечных точек
  • Отслеживайте изменения в структуре API в любое время
  • Получите полный список вредоносных запросов, нацеленных на конкретную конечную точку.
  • Создайте структуру в формате OpenAPI v3 и скачайте ее.
  • Настройте правила брандмауэра для продукта ProAPI Protection.
  • Загрузите файл спецификации OAS и сравните содержащиеся в нем данные с фактическим трафиком.
  • Определите призрачные API, бесхозные API и API-зомби.
ЧИТАТЬ   Стюардесса рассказывает об идеальном способе получить бесплатное повышение класса обслуживания — это «случается»

Дополнительную информацию о продукте ProAPI Structure можно найти в документации.

Компонент обнаружения утечек API Автоматически находит и блокирует запросы с использованием утекших токенов/секретов. Инструмент помогает реализовать процесс отзыва и признания недействительным ключа в случае его потери или компрометации. Продукт ProAPI Leak Detection отвечает за выявление и блокировку запросов, содержащих утекший токен. При необходимости IP-адрес, с которого используется слитый токен, можно передать в SIEM-систему или добавить в черный список, чтобы заблокировать его доступ к веб-приложению.

С помощью этого компонента вы сможете:

  • Анализ запросов на утечку токенов API/секрета.
  • Предотвращайте атаки, блокируйте запросы, содержащие утечку токенов/секретов.
  • Используйте в сочетании с инструментами мониторинга утечек и предотвращайте использование утекших токенов/секретов.
  • Автоматизируйте блокировку утечек токенов/секретов посредством взаимодействия с API.

Продукт «Защита ProAPI»

Продукт «Защита ProAPI» Усиливает безопасность API, используя позитивную модель безопасности. Он может выполнять только входящие и исходящие вызовы, соответствующие предопределенной спецификации API, отклоняя при этом все, что не описано в OAS.

С помощью этого продукта вы сможете:

  • Укрепите безопасность REST API, проверяя запросы на соответствие указанной спецификации OpenAPI 3.0.
  • Предотвратите утечку конфиденциальных данных, проверив ответы приложений на соответствие указанным спецификациям.
  • Проверка токенов JWT при аутентификации OAuth 2.0
  • Обнаруживайте Shadow API, регистрируя запросы к любым конечным точкам API, не указанным в спецификации, если приложение отвечает кодом 2xx или 5xx.
  • Предоставление информации о состоянии приложения балансировщикам

Дополнительные возможности:

  • Поддерживает GraphQL
  • Поставляется в виде Docker-контейнера.
  • Поддерживает OpenAPI 3.0.
  • Поддерживает TLS
  • Не нагружает инфраструктуру
  • Файл спецификации монтируется с помощью Docker или загружается по URL-адресу.

Продукт «Тест ProAPI»

Продукт «Тест ProAPI» выявляет различные типы ошибок и уязвимостей, включая самые сложные, такие как 0-day. Продукт самостоятельно анализирует спецификацию OpenAPI 3.0 и на ее основе создает тесты безопасности маршрутов и их параметров. Для каждой конечной точки и переданных в нее параметров он динамически компилирует набор тестов безопасности, включая различные типы полезной нагрузки, от SQL-инъекций до SSRF.

ЧИТАТЬ   Robovoice перешел под контроль экосистемы SL Soft (Группа компаний Softline)

С помощью этого продукта вы сможете:

  • Проверьте спецификации OpenAPI 3.0 на наличие уязвимостей, основанных на списках OWASP Top 10 и OWASP API Top 10 Threat List.
  • Проверьте каждую конечную точку и параметр в спецификации.
  • Выполните тестирование на основе окончательной спецификации.
  • Обнаружение уязвимостей нулевого дня
  • Интеграция в процесс тестирования или подготовки CI/CD
  • Используйте изделие в закрытом режиме, без доступа к Интернету.
  • Гибкая настройка параметров испытаний и предварительно настроенных профилей
  • Увеличьте охват и количество тестовых случаев, используя фаззинг параметров и конечных точек.
  • Напишите свои собственные тестовые сценарии

Все продукты безопасности Webmonitorex API, включая ProWAF, можно интегрировать друг с другом, тем самым собирая оптимальный набор инструментов для создания комплексной защиты веб-приложений и API.

Вы можете получить подробную информацию по управлению продуктами Webmonitorex В сети.




эрид: LjN8KSHQoРекламодатель: ООО «ВЕБМОНИТОРЭКС»ЭТИН/ОГРН: 7735194651/1227700238545Сайт:

Source

От admin