Checkmarx ผู้นำระดับโลกด้านโซลูชันการทดสอบความปลอดภัยของแอปพลิเคชัน ที่เน้นนักพัฒนาซอฟต์แวร์เป็นศูนย์กลาง ประกาศความพร้อมใช้งาน Checkmarx API Security โซลูชันระบบรักษาความปลอดภัย API ( Application Programming Interface) “shift-left” ที่แท้จริงตัวแรก จากการเปิดตัว Checkmarx Fusion ที่จัดลำดับความสำคัญและเชื่อมโยงข้อมูลช่องโหว่จากเอ็นจิ้น AppSec ที่แตกต่างกัน
โดยระบบรักษาความปลอดภัยของ Checkmarx API Security ถือว่าเป็นส่วนหนึ่งของแพลตฟอร์มแอปพลิเคชัน Checkmarx One ในอุตสาหกรรมชั้นนำ ที่มุ่งเน้น workflow สำหรับนักพัฒนา โดยให้ความสำคัญกับการตรวจจับ API แอบแฝง รวมถึงแอปพลิเคชันที่ไม่ใช่ของจริง หรือปลอมตัวเข้ามาในระบบ ซึ่งเป็นคุณสมบัติหนึ่งที่สำคัญของโซลูชันที่จะสามารถป้องกันและรักษาความปลอดภัยในทุกขั้นตอนการทำงานของ API ทั้งระบบได้อย่างครบวงจร
จากข้อมูลของ Gartner ระบุว่า ทุกแอปพลิเคชั่นบนมือถือที่เชื่อมต่อเว็บสมัยใหม่ หรือแอปพลิเคชั่นที่โฮสต์บนคลาวด์ ต่างใช้และแสดงให้เห็นถึง API โดย API เหล่านี้ ได้มีการถูกใช้เพื่อเข้าถึงข้อมูลและเรียกใช้แอปพลิเคชั่นในการเชื่อมต่อข้อมูล และเรียกใช้ไปยังคุณสมบัติต่าง ๆ ของแอปพลิเคชั่น API ซึ่งจะแสดงให้เห็นได้โดยง่าย แต่ก็ยากในการจำแนก และสิ่งนี้ได้ทำให้เกิดพื้นที่ในการโจมตีที่รวดเร็วมาก ซึ่งเครือข่ายและเครื่องมือในการป้องกันเว็บแบบดั้งเดิมไม่สามารถรับมือกับบรรดาภัยร้ายรูปแบบต่าง ๆ ที่ โจมตี API ได้ รวมถึงหลายรายการที่อธิบายไว้ใน OWASP API Security Top 10
แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่น ๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชั่นที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่
แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่น ๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชั่นที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่
- ความสามารถในการมองเห็น API ที่ครอบคลุม ในการค้นพบ API แฝงและปลอมตัวมาด้วยความแม่นยำมากที่สุด และให้มุมมองที่ทันสมัยที่สุดสำหรับทุกรูปแบบการโจมตีพื้นที่บน API
- วิธี Shift-left ที่แท้จริง – การตรวจจับ API ในซอร์สโค้ดของแอปพลิเคชั่นเพื่อระบุและแก้ไขปัญหาก่อนหน้าใน SDLC
- เร็วขึ้น ด้วยต้นทุนที่น้อยลงและความเสี่ยงที่ลดลง
- การจัดลำดับความสำคัญในการแก้ไข ช่วยให้นักพัฒนาและทีม AppSec สามารถมุ่งเน้นไปที่การแก้ปัญหาที่สำคัญที่สุดก่อน โดยจัดลำดับความสำคัญช่องโหว่ของ API ตามผลกระทบและความเสี่ยงที่แท้จริง
- แนวคิดแบบองค์รวมในการรับมือความเสี่ยงของแอปพลิเคชั่น โดยการสแกนแอปพลิเคชั่นทั้งหมดด้วยโซลูชั่นเดียว โดยไม่จำเป็นต้องใช้เครื่องมือเฉพาะ API เพิ่มเติม เพื่อลดค่าใช้จ่ายที่กดดันทีมอยู่แล้ว
Emmanuel Benzaquen ซีอีโอของ Checkmarx กล่าวว่า “การพัฒนาแอปพลิเคชันสมัยใหม่ ขึ้นอยู่กับ API มากขึ้นเรื่อย ๆ ซึ่งเป็นเรื่องค่อนข้างยุ่งยากในการจัดเก็บ และบ่อยครั้งแหล่งข้อมูลเดียวที่สามารถจัดเก็บเอกสารของ API ได้ คืออยู่บนแล็ปท็อปของนักพัฒนา อย่างไรก็ตาม ลูกค้าองค์กรระดับโลกในปัจจุบันล้วนให้ความสำคัญในการเปลี่ยนผ่านไปยังการพัฒนาบนพื้นฐานเทคโนโลยีคลาวด์ ซึ่งเป็นความท้าทายของเราในการนำเสนอระบบโซลูชันเพื่อตอบโจทย์ให้กับลูกค้าองค์กรที่เน้นทำงานบนเทคโนโลยีคลาวด์
และเป้าหมายของ Checkmarx คือการรักษาความปลอดภัยทุกองค์ประกอบของทุกแอปพลิเคชันในลักษณะที่ช่วยให้นักพัฒนาทำงานได้อย่างมีประสิทธิภาพและลดความซับซ้อนของกระบวนการ สำหรับผู้นำ AppSec ดังนั้น สิ่งที่สำคัญคือ การรักษาองค์กรให้มีความคล่องตัว, ปลอดภัย และมีศักยภาพในการแข่งขัน”
Checkmarx API Security นำเสนอมุมมองที่ไม่เหมือนใครและเน้น API เป็นหลักเพื่อการแก้ไขปัญหา ได้แก่
- การค้นหา API โดยอัตโนมัติ ทั้งการระบุตำแหน่งข้อมูล API โดยไม่ต้องใช้คำจำกัดความ API ด้วยตนเองหรือการลงทะเบียนโดยทีม AppSec หรือนักพัฒนา
- เสริมความสมบูรณ์ให้นวัตกรรม API เกี่ยวกับความสามารถในการค้นพบ API ที่มีการสร้างสรรค์หรืออัปเดตขึ้นมาใหม่ เมื่อซอร์สโค้ดได้รับการตรวจสอบ หรือรวบรวมโดยนักพัฒนาอย่างที่เคยทำใน SDLC
- การจำแนก API ที่ไม่รู้จัก การเปรียบเทียบอัตโนมัติของของแอปพลิเคชันที่ทำโดยผ่านเครื่องมือ API เพื่อจะแยกว่า เป็นแบบที่ไม่รู้จัก แบบแฝง หรือแบบปลอมตัวมา
- การรักษาความปลอดภัย ที่เน้นมุมมองเฉพาะของ API ที่อนุญาตให้ทีม AppSec และนักพัฒนาจัดลำดับความสำคัญในการแก้ไขช่องโหว่ของ API ได้ รวมทั้งเรื่องของความเสี่ยง 10 อันดับแรกของ OWASP
- ความครอบคลุมของแอปพลิเคชันทั้งหมด ทั้งโซลูชันการทดสอบความปลอดภัยของแอปพลิเคชันเดียว (AST) สามารถใช้ได้กับแอปพลิเคชันทั้งหมด ที่อาจรวมถึง ทั้งอุปกรณ์ที่เป็น API และที่ไม่ใช่ ที่นำเสนอมุมมองแบบองค์รวม ในเรื่องของความเสี่ยงด้านความปลอดภัยและการจัดลำดับความสำคัญเรื่องการแก้ไขปัญหา หรือช่องโหว่ต่าง ๆ
การ์ทเนอร์ยังรายงานด้วยว่า “การโจมตีบนแอปพลิเคชั่นกำลังเปลี่ยน ซึ่งจะย้ายไปสู่เรื่องของ API และขั้นตอนในการโจมตีที่มากขึ้น และการละเมิด การแสวงหาประโยชน์จาก API เป็นรูปแบบการโจมตีที่พบเห็นทั่วไปที่มักพบในรายงานเรื่องของการละมิดทางข้อมูลเสมอ
นอกจากนี้ ทีม DevSecOps ได้ให้ความสำคัญในเรื่องความต้องการในการปรับปรุง การทดสอบ API เพื่อการพัฒนา เพื่อหาแนวทางที่เหมาะสมในเรื่องการทดสอบ API มีการมองเรื่องแนวทางผสมผสานในการใช้เครื่องมือแบบเดิม (อย่างเช่น ข้อมูลสถิติแบบเดิม AST แบบคงที่ [SAST] และ AST แบบไดนามิก [DAST]) และโซลูชั่นที่เกิดขึ้นใหม่ซึ่งมุ่งเน้นไปที่ข้อกำหนดของ API โดยเฉพาะ)
ข่าวอื่น ๆ ที่น่าสนใจ
IAM เปิดวาร์ปโลเกชันเมืองคิตะคิวชู ดันกระแสตอบโจทย์อุตสาหกรรมบันเทิงไทย
SCBX ได้รับการจัดอันดับความน่าเชื่อถือ ในระดับ “INVESTMENT GRADE” จาก MOODY และ FITCH
