HCLSoftware推HCL AppScan API安全解決方案管理API資產降風險

2025-04-28 benny

企業軟件解決方案供應商HCLSoftware宣佈與Salt Security攜手推出HCL AppScan API Security。此全面的API安全性計劃，讓組織有效管理所有API資產，並確保資產能持續提供商業價值，不會引入更高層級的風險。HCL AppScan技術總監Colin Bell表示：「HCL AppScan API Security的主要功能之一是持續發現和記錄組織的整個API庫存，使安全團隊能夠深入了解其整體安全狀態。」

清查所有API資產

HCL AppScan API Security旨在通過經專家訓練的人工智能探索平台，減少安全性盲點：平台可查找和清查所有API資產，確保在運行和開發中的企業API標準，並與動態分析無縫整合，以精確找出和修復漏洞。

HCL AppScan API Security可查找所有API資產，確保在運行和開發中的企業API標準，並與動態分析無縫整合，找出和修復漏洞。

應用程式編程介面 (API) 正在迅速改變數碼環境，API現在佔所有網頁流量的50%以上。API可以促進應用程式之間的順暢通訊，現在已依賴於推動雲端服務、流動應用程式和物聯網 (IoT) 裝置。但所有這些流量同時也讓 API 成為可能被惡意攻擊者利用的主要攻擊媒介，組織現在面臨全新的安全挑戰。

HCLSoftware執行副主席Rajesh Iyer表示：「對API的依賴日益增加，令強大的API安全性成為董事會層級的關注，所有客戶都希望改善其安全狀態並保護其數碼生態系統。」

2023年，無論是API攻擊的總數，還是與API漏洞相關的資料外洩比例，都比前幾年大幅增加，而且趨勢方興未艾。在Salt Security最近發表的2024年API安全狀態報告中，37%的受訪機構表示曾發生API相關的安全事故，是前一年的兩倍。僅在2024年的前六個月，各間新聞機構就報導了多個行業的大規模API相關攻擊，包括社交媒體和檔案分享平台、科技公司和電子商務網站等等，導致數百萬使用者的資料外洩。

API已經無處不在，許多公司甚至不知道自己正在使用多少API。中型和大型組織的數目，可輕易達到數百個之多。API現在在每個行業中都扮演了多個角色，最顯然在功能方面，例如網上購物、媒體交付、付款閘道、工作流程自動化、微服務、軟件開發等功能，此類例子不勝枚舉。這表示保護API安全的第一步，就是收集完整且精確的使用清單。

OWASP API安全十大排行榜

API攻擊的上升趨勢促使開放式Web應用程式安全項目 (Open Web Application Security Project; OWASP) 創造了OWASP API安全十大排行榜：一份特別與API相關的最重要安全風險清單，旨在幫助組織了解並減輕與API弱點相關的風險，其中包括組織在保護API時應專注的關鍵領域，例如破壞的物件層級授權 (Broken Object Level Authorization; BOLA)、過度資料曝光，以及安全性錯誤設定等。根據Salt Security的2024年API安全狀態報告，80%的攻擊嘗試利用一個或多個OWASP API前10方法，但只有大約58%受訪者將其安全性努力集中在這個列表上。

Salt Security行政總裁暨聯合創辦人Michael Nicosia表示：「隨著 API 安全事故和法規監督的增加，機構需要在其API生態系統中讓合規性持續下去。透過結合HCL AppScan強大的掃描功能與Salt Security的即時管理和攻擊面的可見性，包括我們發現的無文件和影子API，我們提供統一的洞察分析和對整個 API 環境更深入的能見度。這使機構能夠在整個API生命週期中主動識別風險並維持遵守基本標準，例如支付卡產業數據安全標準 (PCI DSS)、通用數據保護條例 (GDPR) 和健康保險流通與責任法案 (HIPAA)。」