사이버 보안의 최전선에 있는 9가지 API 보안 도구

존 브리든 2세

CSO |

API(응용 프로그래밍 인터페이스)는 네트워킹, 프로그램, 응용 프로그램, 장치 및 컴퓨팅 환경의 거의 모든 것에서 중요한 부분이 되었습니다. 이는 클라우드와 모바일 컴퓨팅의 경우 특히 그렇습니다. API가 모든 것을 하나로 묶거나 많은 백엔드 기능을 관리하지 않으면 현재 형태로는 존재할 수 없습니다.

API는 안정성과 단순성으로 인해 컴퓨팅 환경 전반에 걸쳐 널리 사용됩니다. 대부분의 조직은 네트워크, 특히 클라우드 내에서 얼마나 많은 API가 작동하고 있는지조차 알지 못할 것입니다. 대기업 내에는 수천 개의 API가 작동하고 있으며 심지어 소규모 조직에서도 생각보다 더 많은 API에 의존할 가능성이 높습니다.

API가 유용해진 만큼 이를 사용하면 위험도 발생했습니다. API 생성에 대한 표준은 거의 없고 고유한 표준이 많기 때문에 API에 악용 가능한 취약점이 포함되는 것은 드문 일이 아닙니다. 악의적인 행위자들은 API를 공격하는 것이 프로그램, 데이터베이스, 애플리케이션 또는 네트워크를 직접 공격하는 것보다 훨씬 쉽다는 사실을 발견했습니다. 일단 손상되면 API 기능을 변경하여 해커에게 작동하는 일종의 변절자 내부자로 만드는 것은 어렵지 않습니다.

API의 또 다른 큰 위험은 거의 항상 과도한 권한이 부여된다는 것입니다. 프로그래머는 중단 없이 기능을 수행할 수 있도록 높은 권한을 부여합니다. 그러나 공격자가 API를 손상시키면 마치 인간 관리자의 계정을 손상시킨 것처럼 높은 권한을 사용하여 다른 작업을 수행할 수 있습니다. Akamai의 연구에 따르면 API에 대한 공격이 전 세계 모든 자격 증명 도용 시도의 75%를 차지할 정도로 이는 문제가 되었습니다. 공격자들은 API가 취약하고 어디에나 존재한다는 사실을 알고 API를 노리고 있습니다.

API 해킹 문제의 심각성을 고려하면 최근 몇 년 동안 API 보안 도구의 수가 급증한 것도 놀라운 일이 아닙니다. API를 보호하기 위해 설계된 수십 개의 상용 도구와 수백 개의 무료 또는 오픈 소스 도구도 있습니다. 많은 경우 다른 유형의 사이버 보안 프로그램과 유사점 및 기능을 공유하지만 대신 API의 고유한 특성에 맞게 특별히 구성됩니다.

일반적으로 API 보안 도구는 여러 범주 중 하나에 속하지만 일부는 모든 것을 한 번에 수행하려는 완전한 플랫폼을 제공합니다. 요즘 가장 인기 있는 API 보안 도구는 API 방화벽과 같이 악의적인 요청으로부터 API를 보호하는 도구입니다. 다른 도구는 특정 API에 동적으로 액세스하고 평가하여 취약점을 찾아 공격에 대비하여 해당 코드를 강화하도록 설계되었습니다. 또 다른 사람들은 자신이 모르는 것을 누구도 보호할 수 없다는 생각으로 조직이 네트워크 내에 얼마나 많은 API가 존재하는지 확인할 수 있도록 단순히 환경을 스캔합니다.

API 사이버 보안 도구의 전체 목록을 작성하는 것은 그 수가 너무 많아서 어려울 수 있습니다. 그러나 사용자 리뷰와 상업 리뷰를 모두 연구하면 몇 가지 도구가 눈에 띄기 시작합니다. 다음은 강점과 기능에 대한 간략한 설명과 함께 API 보안을 강화하는 데 사용할 수 있는 최고의 도구 중 일부입니다. 수백 가지가 이 목록에 포함되지는 않지만 이는 오늘날 점점 더 적대적인 위협 환경에 맞서 API를 보호하려고 할 때 사용 가능하고 가능한 것에 대한 좋은 스냅샷을 제공해야 합니다.

현재 사용 가능한 최고의 보안 도구 9개는 다음과 같습니다.

가장 널리 사용되는 API 보안 도구 중 하나인 APIsec은 거의 완전히 자동화되어 있으므로 API 보안 개선을 이제 막 시작한 조직에 적합합니다. API가 이미 구축된 프로덕션 환경에서 APIsec은 이를 스캔하고 스크립트 삽입 공격과 같은 일반적인 취약점에 대해 테스트합니다. 그러나 감지하기 쉽지 않은 비즈니스 프로세스 공격과 같은 공격에 대해 강화되었는지 확인하기 위해 각 API를 완전히 스트레스 테스트할 것입니다. 문제가 발견되면 보안 분석가에게 자세한 결과와 함께 문제를 표시합니다.