F5左移保護(hù)策略，確保API安全無憂

API是我們現(xiàn)代數(shù)字生活中隱形的中樞神經(jīng)系統(tǒng)。API正每天都在為我們所使用的應(yīng)用提供動力：從咖啡店購買一杯咖啡，刷卡進(jìn)入辦公室，搭乘共享汽車與同事共進(jìn)午餐，查看天氣，亦或是在漫長的一天結(jié)束時在沙發(fā)上觀賞影視節(jié)目。無論我們是否意識到這一點(diǎn)，幾乎每一個我們與之互動的企業(yè)都依賴著API來推動其數(shù)字業(yè)務(wù)。

API優(yōu)先的軟件開發(fā)和交付方式的興起，以無數(shù)種方式讓世界變得更美好。但問題是，當(dāng)應(yīng)用程序和架構(gòu)發(fā)生變化時，攻擊面也會隨之變化。傳統(tǒng)的安全措施，比如WAF、DDoS和Bot防護(hù)仍然必不可少，但它們無法完全保護(hù)這些API。這些安全措施是針對當(dāng)時的攻擊面而設(shè)計的，無法預(yù)測未來的攻擊面以及過去幾年API的快速應(yīng)用所帶來的變化。

作為應(yīng)用和API安全領(lǐng)域的全球領(lǐng)導(dǎo)者，F(xiàn)5技術(shù)幾乎覆蓋了全球近一半的應(yīng)用程序的數(shù)據(jù)路徑，為現(xiàn)代Web和移動應(yīng)用程序所遭受的攻擊提供了獨(dú)特的觀察視角。我們的分析顯示，目前超過90%的基于Web的網(wǎng)絡(luò)攻擊都以API端點(diǎn)為目標(biāo)，試圖利用更新且較少為人所知的漏洞，而這些漏洞通常是由安全團(tuán)隊未主動監(jiān)控的API所暴露。

隨著攻擊和攻擊面的變化，您的防御策略也必須隨之調(diào)整。業(yè)界目前對生成式AI的關(guān)注也推動了支持AI和機(jī)器學(xué)習(xí)（AI/ML）模型的應(yīng)用程序和API數(shù)量的快速增長，這進(jìn)一步增加了復(fù)雜性。現(xiàn)代企業(yè)需要一種動態(tài)防御策略，專注在風(fēng)險升級成代價高昂、令人警惕且往往無法預(yù)防的漏洞之前，發(fā)現(xiàn)并降低風(fēng)險。

這些日新月異的變化使得保障關(guān)鍵API的安全成為各類企業(yè)面臨的重大挑戰(zhàn)。團(tuán)隊人手不足的的開發(fā)團(tuán)隊和運(yùn)維團(tuán)隊往往甚至不知道公司使用了多少API，這些API在哪里，以及這些接口所支持的關(guān)鍵數(shù)據(jù)和業(yè)務(wù)流程相關(guān)的合規(guī)性和其他風(fēng)險。

雖然技術(shù)總是在不斷變化，但API安全現(xiàn)象強(qiáng)調(diào)了網(wǎng)絡(luò)安全的基本原則。NIST等主要控制框架幾乎總是以"識別"為起點(diǎn)，這是有原因的。簡而言之，你無法保護(hù)看不到的東西，也不可能有效管理不了解的攻擊面的風(fēng)險。

API盲點(diǎn)已成為一個根本性問題，如今有太多的企業(yè)在API方面處于盲目狀態(tài)。Gartner和其他行業(yè)分析師至少從2019年開始就預(yù)測API將成為第一大攻擊載體，我們所觀察到的數(shù)據(jù)也支持這一觀點(diǎn)，而且沒有減緩的跡象。

網(wǎng)絡(luò)安全行業(yè)已經(jīng)做出了回應(yīng)，迄今為止，大多數(shù)是通過針對API開發(fā)某個方面的點(diǎn)對點(diǎn)解決方案來實(shí)現(xiàn)安全防護(hù)。這類產(chǎn)品提供的功能多樣但有限，如API發(fā)現(xiàn)功能可查找已知正在使用的API，掃描和測試工具可幫助查找漏洞并嘗試彌補(bǔ)這些漏洞。

但是，API安全的未來并不是一系列需要您自行拼湊并嘗試集成的點(diǎn)對點(diǎn)解決方案。F5分布式云服務(wù)應(yīng)運(yùn)而生。

要迎接公司的未來，就必須為未來做好全面的準(zhǔn)備

F5預(yù)見了分布式計算和應(yīng)用安全領(lǐng)域行業(yè)對API的重視，并于5年前開始構(gòu)建一套改變游戲規(guī)則的功能，作為F5分布式云服務(wù)的形式推向市場。

如今，AI驅(qū)動的應(yīng)用程序依賴于分布在本地、云端和邊緣部署上的數(shù)據(jù)源、模型和服務(wù)，并通過數(shù)量迅速增加的API連接在一起。為了幫助客戶應(yīng)對這些相互交織的挑戰(zhàn)和機(jī)遇，我們很高興宣布，F(xiàn)5正在將高級API代碼測試和遙測分析引入F5分布式云服務(wù)，打造業(yè)內(nèi)最全面、最適合于AI的API安全解決方案。API安全創(chuàng)新者Wib的加入，使得F5解決方案可以在應(yīng)用開發(fā)過程中引入漏洞檢測功能和可觀測性；簡言之，F(xiàn)5可助力企業(yè)在API進(jìn)入生產(chǎn)環(huán)境之前識別風(fēng)險并實(shí)施策略。

與API安全一樣，F(xiàn)5分布式云平臺也是為所有企業(yè)的未來發(fā)展而推出的，它具備以下這些基本屬性：

-多云

-API優(yōu)先

-AI驅(qū)動

精益求精

F5分布式云Web應(yīng)用和API防護(hù)（WAAP）解決方案中已經(jīng)提供了強(qiáng)大的API發(fā)現(xiàn)和保護(hù)功能。該平臺可自動為API創(chuàng)建并驗(yàn)證穩(wěn)健的模式，通過可操作的洞察揭示API風(fēng)險，利用AI/ML緩解復(fù)雜的API攻擊等。憑借分布式云WAAP以及NGINX App Protect和BIG-IP Advanced WAF（API安全—新一代WAF），F(xiàn)5賦予了客戶隨時隨地保護(hù)任何應(yīng)用和API的能力。

現(xiàn)在，F(xiàn)5正在左移，以解決整個API生命周期的問題。

Wib平臺與F5分布式云API安全的結(jié)合提供了業(yè)界最全面的API安全解決方案。

為了實(shí)現(xiàn)這一目標(biāo)，我們正在通過以下方式增強(qiáng)當(dāng)前的應(yīng)用程序接口發(fā)現(xiàn)和保護(hù)功能：

-API代碼分析，以發(fā)現(xiàn)API端點(diǎn)并評估其風(fēng)險，然后再將其部署到生產(chǎn)中。

-API測試，以探測漏洞并驗(yàn)證代碼和流量分析中檢測到的可疑威脅。

-API合規(guī)性分析，以確保適當(dāng)?shù)腁PI安全態(tài)勢符合客戶的監(jiān)管要求。

-API威脅面評估，用于監(jiān)控企業(yè)的公共資產(chǎn)，以發(fā)現(xiàn)新API的出現(xiàn)和安全治理之外的API。

-API安全融合引擎可創(chuàng)建一個無縫集成的解決方案，在該解決方案中，每個威脅、漏洞或洞察力都會在所有信息源中得到驗(yàn)證。

作為Wib的前首席技術(shù)官和F5的新成員，我與團(tuán)隊一樣，對將Wib功能引入F5分布式云服務(wù)感到興奮，我們已經(jīng)整合了我們的技術(shù)，以提供世界上有史以來最強(qiáng)大、最全面的API安全平臺。

加入我們，使用世界上首個全面的應(yīng)用程序和API安全解決方案，實(shí)現(xiàn)從代碼到云的真正可視化和安全性，保障您的應(yīng)用和API安全。

隨時隨地運(yùn)行，安全無處不在—盡在F5。