주요 과제는 일반적으로 보안보다는 속도를 우선시해 구축된 API의 빠르고 종종 통제되지 않은 증가입니다. 오늘날의 공격 표면은 성급하게 개발되고, 테스트가 불충분하고, 설정 오류 및 코딩 오류와 같은 취약점을 가지고 출시된 API로 가득 차 있어 인기 있는 공격 대상이 되고 있습니다.
Akamai를 선택하는 이유
API가 공격 표면을 확장: 애플리케이션, 클라우드 서비스, 디지털 공급망 전반에 걸쳐 API가 급속히 확산되면서 공격자의 주요 표적이 되고 있습니다. 지난 1년간 84%의 기업이 API 보안 인시던트를 경험한 것으로 나타남에 따라 기존 보안 툴만으로는 더 이상 충분하지 않다는 것이 분명해졌습니다. 기업은 API와 그 리스크에 대한 더 큰 가시성과 API 위협에 특화된 보안 제어 기능을 결합해야 합니다.
가시성은 API 보안의 초석: API 환경에 대한 명확하고 지속적인 시각이 부족한 기업은 제대로 보호되지 않은 관리되지 않거나 잊혀진 API를 볼 수 없습니다. 또한, 전체 API 목록을 보유한 기업 중 27%만이 어떤 API가 민감한 데이터를 반환하는지 알고 있습니다. 강화된 API 검색 및 체계 관리 기능이 도움이 될 수 있습니다.
API 보안을 위한 위협 탐지 및 방어 기능: 또한 기업은 OWASP 10대 API 보안 리스크에 자세히 설명되어 있는 모든 위협을 비롯한 API 남용 및 공격을 탐지하고 해결하기 위해 보다 심층적인 기능이 필요합니다. 본 백서에서는 다음과 같은 11가지 핵심 API 보안 기능을 알아볼 수 있습니다.
지속적인 API 검색 및 체계 관리
민감한 데이터 접속을 포함한 API 행동 시각화
사용자 엔티티의 맥락을 통해 API 남용 시도 탐지
보안에 중점을 둔 엄격한 실시간 API 테스트
지속적인 API 검색 및 체계 관리는 환경 내 모든 API에 대한 실시간 종합 목록과 민감한 데이터 노출을 포함한 리스크에 대한 포괄적인 분석을 보장하기 때문에 필수적입니다. 이러한 가시성은 방치할 경우 심각한 리스크를 초래할 수 있는 좀비 API 및 섀도 API와 같은 관리되지 않는 API를 탐지하고 보호하는 데 매우 중요합니다.
API 행동 시각화는 API가 어떻게 사용되거나 악용되는지에 대한 명확하고 실행 가능한 관점을 제공함으로써 보안팀을 지원합니다. 이를 통해 보안, 개발, 운영 분야의 이해관계자들은 효과적으로 소통하고 사례를 조사해 의심스러운 활동을 신속하게 탐지하고 대응할 수 있습니다.
기업은 개발 단계에서 API 테스트에 시프트 레프트 접근 방식을 도입함으로써 API 취약점을 조기에 발견하고 해결할 수 있습니다. 핵심 기능에는 OWASP 상위 10대 API 보안 리스크에 포함된 종류를 포함한 악성 트래픽을 시뮬레이션하는 자동화된 테스트 실행이 포함됩니다.
Attacker Confidence Engine은 API 행동, 네트워크 트래픽 패턴, 지리적 위치 데이터, 위협 인텔리전스 피드 및 기타 맥락 요소 등 외부 및 내부 신호를 평가하도록 훈련된 최신 머신 러닝 알고리즘을 사용하며, 이를 통해 탐지된 런타임 인시던트가 악성 활동의 결과인지 확인할 수 있습니다.