API 검색은 기업이 휴면, 레거시 또는 좀비 등의 API를 모두 식별하고 목록화하는 데 도움이 되므로 매우 중요합니다. 존재조차 알지 못하는 것을 안전하게 보호할 수는 없습니다. 완전하고 정확한 인벤토리가 없으면 비즈니스가 심각한 리스크에 노출될 수 있습니다.
핵심 내용
- API는 공격 표면을 확장합니다. 오늘날의 디지털 환경에서 API는 기술 스택의 일부일 뿐만 아니라 애플리케이션, 클라우드 서비스 및 매출 흐름의 중심에 있습니다. Akamai의 API 보안 구매자 가이드는 기업 API를 보호하기 위한 솔루션 벤더사를 검토할 할 때 살펴봐야 할 특정 기능을 파악하는 데 도움이 될 것입니다.
- 가시성은 매우 중요합니다. 대부분의 기업은 새로운 API와 기존 API 가리지 않고 API 생태계에 대한 전체적인 관점을 갖추지 못하고 있습니다. 이렇게 가시성이 부족하면 특히 관리되지 않고 안전하지 않은 휴면 및 좀비 API를 사용하는 공격 표면이 크게 노출됩니다. 효과적인 API 검색은 디지털 자산을 보호하는 첫 번째 단계입니다.
- 실시간 API 위협 탐지 및 복구: API 공격은 불가피하므로 실시간으로 위협을 탐지하고 대응할 수 있는 능력이 중요합니다. 최신 툴은 AI 및 머신 러닝을 사용해 데이터 변조, 누출 및 의심스러운 동작을 모니터링하며, 또한 공격을 차단하고 복구를 자동화할 수 있도록 기존 보안 워크플로우와 원활하게 통합되어야 합니다.
- 시프트 레프트 API 보안 테스트: 개발팀은 종종 오랜 시간이 지나서야 API 보안 테스트를 시작하기 때문에 취약점이 프로덕션 단계까지 넘어갈 수 있습니다. 개발 프로세스 초기에 테스트가 시작되는 시프트 레프트 접근 방식은 공격을 방지하고, 컴플라이언스를 개선하며, API 생태계에 대한 신뢰를 높이는 데 필수적입니다.
FAQ
주요한 도전 과제로는 먼저 API 및 그 리스크에 대한 가시성 부족이 있으며, API 설정 오류, API 코딩 오류, 인증 제어 누락 등의 취약점을 식별하고 해결해야 할 필요성 또한 도전 과제 중 하나입니다. 보안 체계 관리에 중요한 또 다른 요소는 OWASP 상위 10대 API 리스크의 공격 방식을 포함해 점점 진화하는 API 공격 방식을 이해하고 그 공격을 방어하는 것입니다. 이러한 문제는 새로운 API의 신속한 개발 및 배포로 인해 악화될 수 있습니다. 새 API는 민감한 데이터를 교환하는 경우가 많아 API 유출의 관문이 되어 막대한 비용을 초래하기 때문입니다.
실시간 위협 감지는 API 트래픽을 지속적으로 모니터링해 비정상, 데이터 변조 및 정책 위반을 탐지하는 것입니다. 위협이 탐지되면 시스템은 보안팀에 경고해야 하며, 자동으로 공격을 차단 또는 해결함으로써 데이터 유출 및 기타 악의적 활동을 예방할 수 있다면 매우 이상적입니다.
API 보안 테스트에서 시프트 레프트 접근 방식은 API가 프로덕션 단계에 이를 때까지 기다리지 않고 개발 프로세스 초기에 보안 테스트를 통합하는 것을 의미합니다. 이는 팀이 취약점을 조기에 식별 및 해결함으로써 공격 성공의 리스크를 줄이고 API가 처음부터 안전하게 보호될 수 있도록 하기 때문에 중요합니다.
주요 기능으로는 종류 또는 설정에 상관없이 API를 찾아서 목록화하고, 휴면 및 레거시 API를 탐지하고, 섀도 도메인을 식별하고, 중요한 문제에 대한 자동 스캔을 수행하고, 주요 인프라 구성요소와의 사전 구축된 통합을 통해 맞춤형 개발을 최소화하는 기능이 있습니다.
맞춤화 가능한 심각도 수준을 통해 기업은 구체적인 리스크 허용 한도, 규제 요구사항 및 내부 정책을 기반으로 복구 작업의 우선 순위를 정할 수 있습니다. 이는 가장 중요한 취약점이 먼저 해결되도록 하므로, 리소스를 보다 효과적으로 관리하고 전반적인 리스크를 줄일 수 있습니다.