F5左移保護(hù)策略，確保API安全無憂

API是我們現(xiàn)代數(shù)字生活中隱形的中樞神經(jīng)系統(tǒng)。API正每天都在為我們所使用的應(yīng)用提供動(dòng)力：從咖啡店購買一杯咖啡，刷卡進(jìn)入辦公室，搭乘共享汽車與同事共進(jìn)午餐，查看天氣，亦或是在漫長的一天結(jié)束時(shí)在沙發(fā)上觀賞影視節(jié)目。無論我們是否意識(shí)到這一點(diǎn)，幾乎每一個(gè)我們與之互動(dòng)的企業(yè)都依賴著API來推動(dòng)其數(shù)字業(yè)務(wù)。

API優(yōu)先的軟件開發(fā)和交付方式的興起，以無數(shù)種方式讓世界變得更美好。但問題是，當(dāng)應(yīng)用程序和架構(gòu)發(fā)生變化時(shí)，攻擊面也會(huì)隨之變化。傳統(tǒng)的安全措施，比如WAF、DDoS和Bot防護(hù)仍然必不可少，但它們無法完全保護(hù)這些API。這些安全措施是針對(duì)當(dāng)時(shí)的攻擊面而設(shè)計(jì)的，無法預(yù)測(cè)未來的攻擊面以及過去幾年API的快速應(yīng)用所帶來的變化。

作為應(yīng)用和API安全領(lǐng)域的全球領(lǐng)導(dǎo)者，F(xiàn)5技術(shù)幾乎覆蓋了全球近一半的應(yīng)用程序的數(shù)據(jù)路徑，為現(xiàn)代Web和移動(dòng)應(yīng)用程序所遭受的攻擊提供了獨(dú)特的觀察視角。我們的分析顯示，目前超過90%的基于Web的網(wǎng)絡(luò)攻擊都以API端點(diǎn)為目標(biāo)，試圖利用更新且較少為人所知的漏洞，而這些漏洞通常是由安全團(tuán)隊(duì)未主動(dòng)監(jiān)控的API所暴露。

隨著攻擊和攻擊面的變化，您的防御策略也必須隨之調(diào)整。業(yè)界目前對(duì)生成式AI的關(guān)注也推動(dòng)了支持AI和機(jī)器學(xué)習(xí)（AI/ML）模型的應(yīng)用程序和API數(shù)量的快速增長，這進(jìn)一步增加了復(fù)雜性。現(xiàn)代企業(yè)需要一種動(dòng)態(tài)防御策略，專注在風(fēng)險(xiǎn)升級(jí)成代價(jià)高昂、令人警惕且往往無法預(yù)防的漏洞之前，發(fā)現(xiàn)并降低風(fēng)險(xiǎn)。

這些日新月異的變化使得保障關(guān)鍵API的安全成為各類企業(yè)面臨的重大挑戰(zhàn)。團(tuán)隊(duì)人手不足的的開發(fā)團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)往往甚至不知道公司使用了多少API，這些API在哪里，以及這些接口所支持的關(guān)鍵數(shù)據(jù)和業(yè)務(wù)流程相關(guān)的合規(guī)性和其他風(fēng)險(xiǎn)。

雖然技術(shù)總是在不斷變化，但API安全現(xiàn)象強(qiáng)調(diào)了網(wǎng)絡(luò)安全的基本原則。NIST等主要控制框架幾乎總是以"識(shí)別"為起點(diǎn)，這是有原因的。簡而言之，你無法保護(hù)看不到的東西，也不可能有效管理不了解的攻擊面的風(fēng)險(xiǎn)。

API盲點(diǎn)已成為一個(gè)根本性問題，如今有太多的企業(yè)在API方面處于盲目狀態(tài)。Gartner和其他行業(yè)分析師至少從2019年開始就預(yù)測(cè)API將成為第一大攻擊載體，我們所觀察到的數(shù)據(jù)也支持這一觀點(diǎn)，而且沒有減緩的跡象。

網(wǎng)絡(luò)安全行業(yè)已經(jīng)做出了回應(yīng)，迄今為止，大多數(shù)是通過針對(duì)API開發(fā)某個(gè)方面的點(diǎn)對(duì)點(diǎn)解決方案來實(shí)現(xiàn)安全防護(hù)。這類產(chǎn)品提供的功能多樣但有限，如API發(fā)現(xiàn)功能可查找已知正在使用的API，掃描和測(cè)試工具可幫助查找漏洞并嘗試彌補(bǔ)這些漏洞。

但是，API安全的未來并不是一系列需要您自行拼湊并嘗試集成的點(diǎn)對(duì)點(diǎn)解決方案。F5分布式云服務(wù)應(yīng)運(yùn)而生。

要迎接公司的未來，就必須為未來做好全面的準(zhǔn)備

F5預(yù)見了分布式計(jì)算和應(yīng)用安全領(lǐng)域行業(yè)對(duì)API的重視，并于5年前開始構(gòu)建一套改變游戲規(guī)則的功能，作為F5分布式云服務(wù)的形式推向市場(chǎng)。

如今，AI驅(qū)動(dòng)的應(yīng)用程序依賴于分布在本地、云端和邊緣部署上的數(shù)據(jù)源、模型和服務(wù)，并通過數(shù)量迅速增加的API連接在一起。為了幫助客戶應(yīng)對(duì)這些相互交織的挑戰(zhàn)和機(jī)遇，我們很高興宣布，F(xiàn)5正在將高級(jí)API代碼測(cè)試和遙測(cè)分析引入F5分布式云服務(wù)，打造業(yè)內(nèi)最全面、最適合于AI的API安全解決方案。API安全創(chuàng)新者Wib的加入，使得F5解決方案可以在應(yīng)用開發(fā)過程中引入漏洞檢測(cè)功能和可觀測(cè)性；簡言之，F(xiàn)5可助力企業(yè)在API進(jìn)入生產(chǎn)環(huán)境之前識(shí)別風(fēng)險(xiǎn)并實(shí)施策略。

與API安全一樣，F(xiàn)5分布式云平臺(tái)也是為所有企業(yè)的未來發(fā)展而推出的，它具備以下這些基本屬性：

-多云

-API優(yōu)先

-AI驅(qū)動(dòng)

精益求精

F5分布式云Web應(yīng)用和API防護(hù)（WAAP）解決方案中已經(jīng)提供了強(qiáng)大的API發(fā)現(xiàn)和保護(hù)功能。該平臺(tái)可自動(dòng)為API創(chuàng)建并驗(yàn)證穩(wěn)健的模式，通過可操作的洞察揭示API風(fēng)險(xiǎn)，利用AI/ML緩解復(fù)雜的API攻擊等。憑借分布式云WAAP以及NGINX App Protect和BIG-IP Advanced WAF（API安全—新一代WAF），F(xiàn)5賦予了客戶隨時(shí)隨地保護(hù)任何應(yīng)用和API的能力。

現(xiàn)在，F(xiàn)5正在左移，以解決整個(gè)API生命周期的問題。

Wib平臺(tái)與F5分布式云API安全的結(jié)合提供了業(yè)界最全面的API安全解決方案。

為了實(shí)現(xiàn)這一目標(biāo)，我們正在通過以下方式增強(qiáng)當(dāng)前的應(yīng)用程序接口發(fā)現(xiàn)和保護(hù)功能：

-API代碼分析，以發(fā)現(xiàn)API端點(diǎn)并評(píng)估其風(fēng)險(xiǎn)，然后再將其部署到生產(chǎn)中。

-API測(cè)試，以探測(cè)漏洞并驗(yàn)證代碼和流量分析中檢測(cè)到的可疑威脅。

-API合規(guī)性分析，以確保適當(dāng)?shù)腁PI安全態(tài)勢(shì)符合客戶的監(jiān)管要求。

-API威脅面評(píng)估，用于監(jiān)控企業(yè)的公共資產(chǎn)，以發(fā)現(xiàn)新API的出現(xiàn)和安全治理之外的API。

-API安全融合引擎可創(chuàng)建一個(gè)無縫集成的解決方案，在該解決方案中，每個(gè)威脅、漏洞或洞察力都會(huì)在所有信息源中得到驗(yàn)證。

作為Wib的前首席技術(shù)官和F5的新成員，我與團(tuán)隊(duì)一樣，對(duì)將Wib功能引入F5分布式云服務(wù)感到興奮，我們已經(jīng)整合了我們的技術(shù)，以提供世界上有史以來最強(qiáng)大、最全面的API安全平臺(tái)。

加入我們，使用世界上首個(gè)全面的應(yīng)用程序和API安全解決方案，實(shí)現(xiàn)從代碼到云的真正可視化和安全性，保障您的應(yīng)用和API安全。

隨時(shí)隨地運(yùn)行，安全無處不在—盡在F5。