如何将安全性集成到您的应用程序基础架构中


正如用户界面(UI)就是人类用户和软件的交互方式,应用程序编程接口(API)是软件组件或系统如何与其他软件组件或系统交互。它定义了其他组件或系统如何使用它。它描述了可以进行的调用或请求的种类,如何制作它们,应该使用的数据格式以及要遵循的约定。 API描述并规定了预期的行为。

API的开发和使用是迅速乘法的。 2019年7月, programmableWeb.’s Wendell Santos写道,“ProgrammableWeb目录于2019年6月淡化了22,000-API标记,这一里程碑使我们有机会查看数据可以告诉我们API经济。自2005年以来,我们’已经看到API从好奇心增长到趋势,现在到了API对许多企业的核心。 API为无数组织和开发人员提供了巨大价值,这些人在其持续增长中反映出来。”

今天很多’S最受欢迎的消费者和企业应用程序,如PayPal,Airbnb和优步拥有在后台运行的第三方API和开发人员服务。不再被视为临时修复,许多数十亿美元的企业已经在这些API的背面建立了业务。它们用于促进来自短信和电子邮件到付款和基于位置的服务的所有内容。 

像任何技术一样,API介绍了自己独特的安全挑战。问题是如何将安全性集成到应用程序基础架构中的安全性,并保护公司面向自动攻击,帐户收购和虚假帐户创建公司的公开展示网站,Web应用程序和移动应用程序。

虽然尚未有较大数量的工具,旨在帮助缓解应用程序安全性,但这篇文章将突出公司专注于为今天提供高度自动应用的安全软件解决方案的公司’S的超连接组织, Cequence安全

成立于2014年,基于桑尼维尔,Cequence是一个备用备份启动。 Cequence安全领导团队以前为Palo Alto Networks和Symantec的增长和成功做出了贡献。 

华晨安全杂志sat down with 马特凯尔是,产品营销总监,以获得更多关于他们所做的内容,如何做到,以及什么’s next for them.

马特凯尔,
产品营销总监
在Cequence.

Cequence描述了他们地址的威胁,指出电力组织的Web,Mobile和API的应用程序也针对无情的网络攻击。这些包括专注于业务逻辑滥用的自动机器人攻击(例如凭据填充,站点刮擦,假帐户创建等),以及针对旨在利用已知和未知应用程序漏洞的目标攻击。

Cequence安全通过AI驱动的基于集装箱的软件平台停止这些攻击,可以轻松地部署在内部或云中,无论您需要保护应用程序。

马特告诉我们,“我们看看我们的客户’S Web或应用程序流量并使用机器学习算法查找自动化模式以确定它是否是恶意的。在这样做的同时,我们忍受了’T引入用户体验的额外摩擦。 

“我们收集遥测并查看交通中的模式。我们观察潜在的行为特征,可能表明可能是恶意交通。我们寻找诸如使用旧版本的浏览器的指示器,使用可能更适用于开发目的的无头浏览器,或者通常用于恶意目的,或使用旧版本的API。我们也看看交通来自哪里。我们考虑到交通量和速度,以确定是否合理地相信人类正在进入数据。 

“从我们的分析中,我们向客户提供零率为100的信誉评分–零表示合法流量的高概率和100指示恶意行为。然后,我们的客户可以采取适当的行动,例如阻止流量或只是监控它。或者,也许他们希望利用一些来源的限制流量。 

“在某些情况下,我们的客户可能会选择向攻击者发送他们成功的攻击者的欺骗性响应,因此可能限制了恶意流量的移动到备用接口。 

“我们的解决方案是可定制的。产品中有超过150个不同的自动化指示灯。这些可以根据客户自定义’环境。零售客户可能与金融服务客户有不同的要求。”

他们的应用程序安全平台从他们的网站摘要包括:

CQAI.

专利的机器学习和分析引擎,可自动发现您的Web,移动和基于API的应用程序,同时还发现了两个安全模块可以解决的威胁和漏洞:

  • cq botdefense: 使用CQAI调查结果来确定应用交易的实际意图,允许您防止广泛的自动化业务逻辑滥用攻击。
  • cq appfirewall: 利用CQAI智能地延长了传统的WAF功能,同时降低了行政努力,解决了严重的WAF缺乏 - 防止零日攻击。

CQ Connect.

将第三方数据导入Cequence ASP或导出调查结果以加强您的安全姿势,提高团队的生产力。

CQ Insight.

集中管理Cequunce ASP,随时随地,在您的Web,移动和API的应用程序中使用无与伦比的可视性,允许您了解流量的意图并采取适当的缓解行动。

MATH解释说,不久的将来会带来新功能。’S平台。他说,“您将看到我们大大扩展,更有可视化工具和其他工具,以帮助客户了解与他们的API相关的风险。”

用于深入描述’解决方案,包括有用的用例叙述,访问他们的网站 //www.cequence.ai/ 


STEVEN Bowcut,CPP,PSP是一个屡获殊荣的新闻工作者,涵盖网络和物理安全。他是一家华晨安全杂志的编辑和作家,以及其他安全和非安全在线出版物。跟随和连接史蒂夫 推特, Facebook, Instagram., 和 linkedin..