🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

API安全崛起 | FireTail获得Zscaler等网安公司加持,国内明星厂商也加速布局

喵酱 安全喵喵站 2023-11-04
收录于合集 #喵站快讯 122个



2022年12月14日,API安全初创公司FireTail宣布获得500万美元的早期投资,由Paladin Capital领投。值得关注的是,跟投机构中除了General Advance、Secure Octane等资本,还出现了Zscaler等许多网安科技公司的天使投资者,包括SentinelOne的云安全VP Ely Kahn, Intel 471的CEO Mark Arena和Shift5的CEO Josh Lospinoso。


FireTail由Jeremy Snyder和Riley Priddle于2021年共同创立,其推出的愿景是防止基于API的数据泄露。FireTail认为,现有的API安全解决方案主要是遗留的、单一的孤岛解决方案,通常只关注问题的一部分。相比之下,FireTail具有完整的可见性和运行时阻断控制能力,可以帮助客户从应用程序层解决API面临的关键问题。

API 数据泄露的根本原因是应用程序逻辑问题,Snyder 解释道:我们的库可以轻松地针对主要攻击向量执行串行的、预防性检查。


API Security by Design理念


是什么打动了Zscaler和这些网安科技公司的天使投资者?答案可能在于「API Security by Design」理念。

在2022年7月的fwd:CloudSec活动上,Jeremy Snyder展示了一个关于扩展云安全象限的云安全框架。


  • 左上象限:预生产操作系统和应用程序层。开发团队和应用程序所有者致力于消除应用程序或容器或第三方依赖组件的漏洞,并进行代码分析;
  • 左下象限:预生产基础设施层。DevOps 团队定义基础设施即代码IaC模板,可以分析这些模板是否可能引入漏洞或数据泄露;
  • 右上象限:生产运行时、操作系统和应用层。信息安全和应用团队监控并响应这些环境中的问题;
  • 右下象限:生产基础设施层。云团队、云安全团队和信息安全团队处理导致组件暴露的错误配置。

在Jeremy Snyder看来,云安全是过去3年多来网络安全最热门的领域,CSPM会是企业购买的第一个产品,但也达到了数据临界点——数据如此之多,以至于需要在CSPM 之上构建解决方案,以帮助关联信息并确定优先级。在从CSPM 到CNAPP的转变中,拥有太多安全产品的总体挫败感,导致了扩展的复杂性。


在2022年7月的DevOps Institute SkilUp活动上,Jeremy Snyder以「Embedding API Security by Design into DevOps Pipelines」为主题进行了分享。在他看来,由于API-oriented架构的驱动,组织正在转向采用更多的PaaS能力,但针对API的网络攻击也同样迅速增加,泄露了大量敏感数据,造成了很实际的影响。其中一些主要的攻击向量(如身份验证、探测、授权、注入/错误请求等)原本是可以在应用层轻松检测和控制的,因此决定性的安全控制措施可以、也应该在API中完成。实施实时API安全性是可能的,而且应该很容易。


基于这些思考,FireTail提出了API-SPM(API Security Posture Management),以及开源、面向独立开发者、企业版三种不同的服务模式。



API安全在国内也正火热


随着数字化和云原生在国内的发展,API已经成为企业的一个新的基础设施,被客户普遍采用,因此其安全性也越来越受到CSO们的关注,也是被众多资本所看好的一个未来赛道方向。国内有大量厂商都在这一方向加紧投入,有成熟大厂,也不乏初创明星。

来源:斯元商业咨询「Emerging Technology Vendor Index · 网安新兴赛道厂商速查指南」

来源:斯元商业咨询「网络安全科技供应链报告:厂商成分分析及国产化替代指南」

派拉软件产品总监郭利民认为,API安全方向是2022年最具创新性的赛道之一,是数据安全和网络安全的融合,也是国内数字化转型的重要的一环。数据安全法、网络安全法的发布推行,也加速了API安全的落地。API解决了以边界为防护的传统安全体系的弱点,也解决了不能实时监控数据传输过程中的流动风险,例如:敏感数据的流转监测、非法参数请求、越权攻击、弱点识别等风险。派拉的API安全产品基于智能风险监测模型、大数据、安全网关引擎,通过API风险动态感知、策略精准下发、API实时防护等功能,实现API一体化安全,同时也是国内少有的兼具安全监测和安全防护的产品。派拉软件在大型央国企、金融、运营商都有实际的落地案例,对于满足最新法律法规的要求,构建新形势下的数字安全防护体系、API安全的持续运营都具有十分重要的推广价值。

喜数信息CTO 孙峰表示,API安全的问题主要表现为漏洞和传输数据的涉敏问题。目前国内主流API安全产品大多从流量中识别API入手,进而将从流量中分析的结果反馈给用户做进一步解决问题的参考。随着API攻击手段自动化程度的提升和攻击手段的进一步隐蔽,这样仅发现问题的方式,将使客户疲于应付系统中大量的攻击告警,而忽略真正的潜在威胁。API攻击具有明显的应用逻辑相关性特征,必然需要结合业务逻辑、代码规范、应用流量等多种因素,才能精确定位攻击特征;进而可以针对此攻击做出有效的自动防护应对策略。

我们认为,针对API攻击的多维度检测、精准定位与自动化防护将是下一阶段API安全解决方案的演化方向。事实上,发生API安全问题的根本是研发环节与安全脱节导致的系统性问题。从长远来看,组织需要引入并加深对DevSecOps的理解和实践,以应对应用层多维度攻击。

相关链接
https://siliconangle.com/2022/12/14/api-security-startup-firetail-raises-5m-expand-coverage/
https://firetail.io/blog/firetail-raises-5m-to-accelerate-api-security-led-by-paladin-capital-group
https://firetail.io/blog/presentation-from-fwd-cloudsec-on-expanding-cloud-security-quadrants
https://firetail.io/blog/devops-institute-skilup-presentation-embedding-api-security-design-devops-pipelines
https://firetail.io/features/api-security-posture-management
https://firetail.io/pricing



往期回顾



网安大厂纷纷入局ITDR,欺骗防御/蜜罐或将被融合?
「安全有效性验证」持续升温,TE投了一个「防御面」管理的新种子Interpres
PAM赛道格局持续重构,Senhasegura融资1300万美金


关注「安全营销喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《网安初创天使投资态势报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 hella@z1-sec.com。

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存