เปิดตัวระบบรักษาความปลอดภัยใหม่ Checkmarx API การันตีโซลูชันระบบรักษาความปลอดภัย API shift-left ช่วยเสริมพลังให้นักพัฒนา พันธมิตร และ AppSec แบบครบวงจร
Emmanuel Benzaquen ซีอีโอของ Checkmarx กล่าวว่า การพัฒนาแอปพลิเคชันสมัยใหม่ขึ้นอยู่กับ API มากขึ้นเรื่อยๆ ซึ่งเป็นเรื่องค่อนข้างยุ่งยากในการจัดเก็บ และบ่อยครั้งแหล่งข้อมูลเดียวที่สามารถจัดเก็บเอกสารของ API ได้ คืออยู่บนแล็ปท็อปของนักพัฒนา อย่างไรก็ตาม ลูกค้าองค์กรระดับโลกในปัจจุบันล้วนให้ความสำคัญในการเปลี่ยนผ่านไปยังการพัฒนาบนพื้นฐานเทคโนโลยีคลาวด์ ซึ่งเป็นความท้าทายของบริษัทในการนำเสนอระบบโซลูชันเพื่อตอบโจทย์ให้ลูกค้าองค์กรที่เน้นทำงานบนเทคโนโลยีคลาวด์
"เป้าหมายของ Checkmarx คือการรักษาความปลอดภัยทุกองค์ประกอบของทุกแอปพลิเคชันในลักษณะที่ช่วยให้นักพัฒนาทำงานได้อย่างมีประสิทธิภาพและลดความซับซ้อนของกระบวนการ สำหรับผู้นำ AppSec ดังนั้น สิ่งที่สำคัญคือการรักษาองค์กรให้มีความคล่องตัว ปลอดภัย และมีศักยภาพในการแข่งขัน”
Checkmarx มองตัวเองเป็นผู้นำระดับโลกด้านโซลูชันการทดสอบความปลอดภัยของแอปพลิเคชันที่เน้นนักพัฒนาซอฟต์แวร์เป็นศูนย์กลาง การประกาศในวันนี้เป็นการแสดงความพร้อมใช้งานของ Checkmarx API Security ซึ่งเป็นโซลูชันระบบรักษาความปลอดภัย API (Application Programming Interface) "shift-left" ที่แท้จริงตัวแรก จากการเปิดตัว Checkmarx Fusion ที่จัดลำดับความสำคัญและเชื่อมโยงข้อมูลช่องโหว่จากเอ็นจิน AppSec ที่แตกต่างกัน โดยระบบรักษาความปลอดภัยของ Checkmarx API Security ถือว่าเป็นส่วนหนึ่งของแพลตฟอร์มแอปพลิเคชัน Checkmarx One ในอุตสาหกรรมชั้นนำ ที่มุ่งเน้น workflow สำหรับนักพัฒนา ระบบจะให้ความสำคัญกับการตรวจจับ API แอบแฝง รวมถึงแอปพลิเคชันที่ไม่ใช่ของจริงหรือปลอมตัวเข้ามาในระบบ ซึ่งเป็นคุณสมบัติหนึ่งที่สำคัญของโซลูชันที่จะสามารถป้องกันและรักษาความปลอดภัยในทุกขั้นตอนการทำงานของ API ทั้งระบบได้อย่างครบวงจร
จากข้อมูลของ Gartner ระบุว่า ทุกแอปพลิเคชันบนมือถือที่เชื่อมต่อเว็บสมัยใหม่ หรือแอปพลิเคชันที่โฮสต์บนคลาวด์ต่างใช้และแสดงให้เห็นถึง API โดย API เหล่านี้ได้มีการถูกใช้เพื่อเข้าถึงข้อมูลและเรียกใช้แอปพลิเคชันในการเชื่อมต่อข้อมูล และเรียกใช้ไปยังคุณสมบัติต่างๆ ของแอปพลิเคชัน API ซึ่งจะแสดงให้เห็นได้โดยง่าย แต่ก็ยากในการจำแนก และสิ่งนี้ได้ทำให้เกิดพื้นที่ในการโจมตีที่รวดเร็วมาก ซึ่งเครือข่ายและเครื่องมือในการป้องกันเว็บแบบดั้งเดิมไม่สามารถรับมือกับบรรดาภัยร้ายรูปแบบต่างๆ ที่โจมตี API ได้ รวมถึงหลายรายการที่อธิบายไว้ใน OWASP API Security Top 10
แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่นๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชันที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่ ความสามารถในการมองเห็น API ที่ครอบคลุมในการค้นพบ API แฝงและปลอมตัวมาด้วยความแม่นยำมากที่สุด และให้มุมมองที่ทันสมัยที่สุดสำหรับทุกรูปแบบการโจมตีพื้นที่บน API
ความแตกต่างในส่วนที่ 2 คือวิธี Shift-left ที่แท้จริง - การตรวจจับ API ในซอร์สโค้ดของแอปพลิเคชันเพื่อระบุและแก้ไขปัญหาก่อนหน้าใน SDLC - เร็วขึ้น ด้วยต้นทุนที่น้อยลงและความเสี่ยงที่ลดลงส่วนที่ 3 คือการจัดลำดับความสำคัญในการแก้ไข ช่วยให้นักพัฒนาและทีม AppSec สามารถมุ่งเน้นไปที่การแก้ปัญหาที่สำคัญที่สุดก่อน โดยจัดลำดับความสำคัญช่องโหว่ของ API ตามผลกระทบและความเสี่ยงที่แท้จริง
และส่วนที่ 4 คือแนวคิดแบบองค์รวมในการรับมือความเสี่ยงของแอปพลิเคชัน โดยการสแกนแอปพลิเคชันทั้งหมดด้วยโซลูชันเดียว โดยไม่จำเป็นต้องใช้เครื่องมือเฉพาะ API เพิ่มเติม เพื่อลดค่าใช้จ่ายที่กดดันทีมอยู่แล้ว
สำหรับ Checkmarx API Security นำเสนอมุมมองที่ไม่เหมือนใครและเน้น API เป็นหลักเพื่อการแก้ไขปัญหา ได้แก่การค้นหา API โดยอัตโนมัติ ทั้งการระบุตำแหน่งข้อมูล API โดยไม่ต้องใช้คำจำกัดความ API ด้วยตนเองหรือการลงทะเบียนโดยทีม AppSec หรือนักพัฒนา
นอกจากนี้ ยังเสริมความสมบูรณ์ให้นวัตกรรม API เกี่ยวกับความสามารถในการค้นพบ API ที่มีการสร้างสรรค์หรืออัปเดตขึ้นมาใหม่ เมื่อซอร์สโค้ดได้รับการตรวจสอบ หรือรวบรวมโดยนักพัฒนาอย่างที่เคยทำใน SDLC ขณะเดียวกัน มีการจำแนก API ที่ไม่รู้จัก การเปรียบเทียบอัตโนมัติของของแอปพลิเคชั่ฃนที่ทำโดยผ่านเครื่องมือ API เพื่อจะแยกว่า เป็นแบบที่ไม่รู้จัก แบบแฝง หรือแบบปลอมตัวมา
ที่สำคัญคือการรักษาความปลอดภัยที่เน้นมุมมองเฉพาะของ API ที่อนุญาตให้ทีม AppSec และนักพัฒนาจัดลำดับความสำคัญในการแก้ไขช่องโหว่ของ API ได้ รวมทั้งเรื่องของความเสี่ยง 10 อันดับแรกของ OWASP โดยรองรับความครอบคลุมของแอปพลิเคชันทั้งหมด ทั้งโซลูชันการทดสอบความปลอดภัยของแอปพลิเคชันเดียว (AST) สามารถใช้ได้กับแอปพลิเคชันทั้งหมด ที่อาจรวมถึงทั้งอุปกรณ์ที่เป็น API และที่ไม่ใช่ ที่นำเสนอมุมมองแบบองค์รวมในเรื่องของความเสี่ยงด้านความปลอดภัยและการจัดลำดับความสำคัญเรื่องการแก้ไขปัญหา หรือช่องโหว่ต่างๆ
Gartner ยังรายงานด้วยว่า การโจมตีบนแอปพลิเคชันกำลังเปลี่ยน ซึ่งจะย้ายไปสู่เรื่องของ API และขั้นตอนในการโจมตีที่มากขึ้น และการละเมิด การแสวงหาประโยชน์จาก API เป็นรูปแบบการโจมตีที่พบเห็นทั่วไปที่มักพบในรายงานเรื่องของการละมิดทางข้อมูลเสมอ
นอกจากนี้ ทีม DevSecOps ได้ให้ความสำคัญในเรื่องความต้องการในการปรับปรุง การทดสอบ API เพื่อการพัฒนา เพื่อหาแนวทางที่เหมาะสมในเรื่องการทดสอบ API มีการมองเรื่องแนวทางผสมผสานในการใช้เครื่องมือแบบเดิม (อย่างเช่น ข้อมูลสถิติแบบเดิม AST แบบคงที่ [SAST] และ AST แบบไดนามิก [DAST]) และโซลูชันที่เกิดขึ้นใหม่ซึ่งมุ่งเน้นไปที่ข้อกำหนดของ API โดยเฉพาะ)
