November 24, 2024

เปิดตัว ระบบรักษาความปลอดภัยใหม่ Checkmarx API โซลูชั่นระบบรักษาความปลอดภัย API shift-left ช่วยเสริมพลังให้นักพัฒนา พันธมิตร และ AppSec ได้อย่างครบวงจร

ผู้นำระดับโลกด้านโซลูชั่นการทดสอบความปลอดภัยของแอปพลิเคชั่นที่เน้นนักพัฒนาซอฟต์แวร์เป็นศูนย์กลาง ประกาศในวันนี้ถึงความพร้อมใช้งานของ Checkmarx API Security ซึ่งเป็นโซลูชั่นระบบรักษาความปลอดภัย API ( Application Programming Interface) “shift-left” ที่แท้จริงตัวแรก จากการเปิดตัว Checkmarx Fusion ที่จัดลำดับความสำคัญและเชื่อมโยงข้อมูลช่องโหว่จากเอ็นจิ้น AppSec ที่แตกต่างกัน

โดยระบบรักษาความปลอดภัยของ Checkmarx API Security ถือว่าเป็นส่วนหนึ่งของแพลตฟอร์มแอปพลิเคชั่น Checkmarx One ในอุตสาหกรรมชั้นนำ ที่มุ่งเน้น workflow สำหรับนักพัฒนา โดยให้ความสำคัญกับการตรวจจับ API แอบแฝง รวมถึงแอปพลิเคชั่นที่ไม่ใช่ของจริงหรือปลอมตัวเข้ามาในระบบ ซึ่งเป็นคุณสมบัติหนึ่งที่สำคัญของโซลูชั่นที่จะสามารถป้องกันและรักษาความปลอดภัยในทุกขั้นตอนการทำงานของ API ทั้งระบบได้อย่างครบวงจร

          จากข้อมูลของ Gartner® ระบุว่า  "ทุกแอปพลิเคชั่นบนมือถือที่เชื่อมต่อเว็บสมัยใหม่ หรือแอปพลิเคชั่นที่โฮสต์บนคลาวด์ต่างใช้และแสดงให้เห็นถึง API  โดย API เหล่านี้ ได้มีการถูกใช้เพื่อเข้าถึงข้อมูลและเรียกใช้แอปพลิเคชั่นในการเชื่อมต่อข้อมูล และเรียกใช้ไปยังคุณสมบัติต่าง ๆ ของแอปพลิเคชั่น API ซึ่งจะแสดงให้เห็นได้โดยง่าย แต่ก็ยากในการจำแนก และสิ่งนี้ได้ทำให้เกิดพื้นที่ในการโจมตีที่รวดเร็วมาก ซึ่งเครือข่ายและเครื่องมือในการป้องกันเว็บแบบดั้งเดิมไม่สามารถรับมือกับบรรดาภัยร้ายรูปแบบต่าง ๆ ที่ โจมตี API ได้ รวมถึงหลายรายการที่อธิบายไว้ใน OWASP API Security Top 10”

   แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่น ๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชั่นที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่

- ความสามารถในการมองเห็น API ที่ครอบคลุม ในการค้นพบ API แฝงและปลอมตัวมาด้วยความแม่นยำมากที่สุด และให้มุมมองที่ทันสมัยที่สุดสำหรับทุกรูปแบบการโจมตีพื้นที่บน API
-   วิธี Shift-left ที่แท้จริง – การตรวจจับ API ในซอร์สโค้ดของแอปพลิเคชั่นเพื่อระบุและแก้ไขปัญหาก่อนหน้าใน SDLC – เร็วขึ้น ด้วยต้นทุนที่น้อยลงและความเสี่ยงที่ลดลง
-  การจัดลำดับความสำคัญในการแก้ไข ช่วยให้นักพัฒนาและทีม AppSec สามารถมุ่งเน้นไปที่การแก้ปัญหาที่สำคัญที่สุดก่อน โดยจัดลำดับความสำคัญช่องโหว่ของ API ตามผลกระทบและความเสี่ยงที่แท้จริง
-  แนวคิดแบบองค์รวมในการรับมือความเสี่ยงของแอปพลิเคชั่น โดยการสแกนแอปพลิเคชั่นทั้งหมดด้วยโซลูชั่นเดียว โดยไม่จำเป็นต้องใช้เครื่องมือเฉพาะ API เพิ่มเติม เพื่อลดค่าใช้จ่ายที่กดดันทีมอยู่แล้ว
Emmanuel Benzaquen ซีอีโอของ Checkmarx กล่าวว่า “การพัฒนาแอปพลิเคชั่นสมัยใหม่ ขึ้นอยู่กับ API มากขึ้นเรื่อย ๆ ซึ่งเป็นเรื่องค่อนข้างยุ่งยากในการจัดเก็บ และบ่อยครั้งแหล่งข้อมูลเดียวที่สามารถจัดเก็บเอกสารของ API ได้ คืออยู่บนแล็ปท็อปของนักพัฒนา อย่างไรก็ตาม ลูกค้าองค์กรระดับโลกในปัจจุบันล้วนให้ความสำคัญในการเปลี่ยนผ่านไปยังการพัฒนาบนพื้นฐานเทคโนโลยีคลาวด์ ซึ่งเป็นความท้าทายของเราในการนำเสนอระบบโซลูชั่นเพื่อตอบโจทย์ให้กับลูกค้าองค์กรที่เน้นทำงานบนเทคโนโลยีคลาวด์ และเป้าหมายของ Checkmarx คือการรักษาความปลอดภัยทุกองค์ประกอบของทุกแอปพลิเคชั่นในลักษณะที่ช่วยให้นักพัฒนาทำงานได้อย่างมีประสิทธิภาพและลดความซับซ้อนของกระบวนการ สำหรับผู้นำ AppSec ดังนั้นสิ่งที่สำคัญคือ การรักษาองค์กรให้มีความคล่องตัว, ปลอดภัย และมีศักยภาพในการแข่งขัน”

Checkmarx API Security นำเสนอมุมมองที่ไม่เหมือนใครและเน้น API เป็นหลักเพื่อการแก้ไขปัญหา ได้แก่

-  การค้นหา API โดยอัตโนมัติ ทั้งการระบุตำแหน่งข้อมูล API โดยไม่ต้องใช้คำจำกัดความ API ด้วยตนเองหรือการลงทะเบียนโดยทีม AppSec หรือนักพัฒนา

-  เสริมความสมบูรณ์ให้นวัตกรรม API เกี่ยวกับความสามารถในการค้นพบ API ที่มีการสร้างสรรค์หรืออัปเดทขึ้นมาใหม่ เมื่อซอร์สโค้ดได้รับการตรวจสอบ หรือรวบรวมโดยนักพัฒนาอย่างที่เคยทำใน SDLC

-   การจำแนก API ที่ไม่รู้จัก การเปรียบเทียบอัตโนมัติของของแอปพลิเคชั่นที่ทำโดยผ่านเครื่องมือ API เพื่อจะแยกว่า เป็นแบบที่ไม่รู้จัก แบบแฝง หรือแบบปลอมตัวมา

-   การรักษาความปลอดภัย ที่เน้นมุมมองเฉพาะของ API ที่อนุญาตให้ทีม AppSec และนักพัฒนาจัดลำดับความสำคัญในการแก้ไขช่องโหว่ของ API ได้ รวมทั้งเรื่องของความเสี่ยง 10 อันดับแรกของ OWASP

-  ความครอบคลุมของแอปพลิเคชั่นทั้งหมด ทั้งโซลูชั่นการทดสอบความปลอดภัยของแอปพลิเคชั่นเดียว (AST) สามารถใช้ได้กับแอปพลิเคชั่นทั้งหมด ที่อาจรวมถึง ทั้งอุปกรณ์ที่เป็น API และที่ไม่ใช่ ที่นำเสนอมุมมองแบบองค์รวม ในเรื่องของความเสี่ยงด้านความปลอดภัยและการจัดลำดับความสำคัญเรื่องการแก้ไขปัญหา หรือช่องโหว่ต่าง ๆ
Gartner® ยังรายงานด้วยว่า “การโจมตีบนแอปพลิเคชั่นกำลังเปลี่ยน ซึ่งจะย้ายไปสู่เรื่องของ API และขั้นตอนในการโจมตีที่มากขึ้น และการละเมิด การแสวงหาประโยชน์จาก API เป็นรูปแบบการโจมตีที่พบเห็นทั่วไปที่มักพบในรายงานเรื่องของการละมิดทางข้อมูลเสมอ

  นอกจากนี้ ทีม DevSecOps ได้ให้ความสำคัญในเรื่องความต้องการในการปรับปรุง การทดสอบ API เพื่อการพัฒนา เพื่อหาแนวทางที่เหมาะสมในเรื่องการทดสอบ API มีการมองเรื่องแนวทางผสมผสานในการใช้เครื่องมือแบบเดิม (อย่างเช่น ข้อมูลสถิติแบบเดิม  AST แบบคงที่ [SAST] และ AST แบบไดนามิก [DAST]) และโซลูชั่นที่เกิดขึ้นใหม่ซึ่งมุ่งเน้นไปที่ข้อกำหนดของ API โดยเฉพาะ)