HCLSoftware 推出 HCL AppScan API 安全解決方案

一種全面的 API 安全解決方案，旨在幫助組織有效管理 API 資產(chǎn)，同時(shí)降低風(fēng)險(xiǎn)。

印度諾伊達(dá)2025年4月24日 /美通社/ -- 全球領(lǐng)先的企業(yè)軟件解決方案供應(yīng)商 HCLSoftware 今天宣佈與 Salt Security 攜手推出 HCL AppScan API Security。此全面的 API 安全性計(jì)劃，讓組織有效管理所有 API 資產(chǎn)，並確保資產(chǎn)能持續(xù)提供商業(yè)價(jià)值，不會(huì)引入更高層級(jí)的風(fēng)險(xiǎn)。

HCL AppScan API Security 旨在通過(guò)經(jīng)專(zhuān)家訓(xùn)練的人工智能探索平臺(tái)，減少安全性盲點(diǎn)：平臺(tái)可查找和清查所有 API 資產(chǎn)，確保在運(yùn)行和開(kāi)發(fā)中的企業(yè) API 標(biāo)準(zhǔn)，並與動(dòng)態(tài)分析無(wú)縫整合，以精確找出和修復(fù)漏洞。 

應(yīng)用程式編程介面 (API) 正在迅速改變數(shù)碼環(huán)境，API 現(xiàn)在佔(zhàn)所有網(wǎng)頁(yè)流量的 50% 以上。API 可以促進(jìn)應(yīng)用程式之間的順暢通訊，現(xiàn)在已依賴(lài)於推動(dòng)雲(yún)端服務(wù)、流動(dòng)應(yīng)用程式和物聯(lián)網(wǎng) (IoT) 裝置。但所有這些流量同時(shí)也讓 API 成為可能被惡意攻擊者利用的主要攻擊媒介，組織現(xiàn)在面臨全新的安全挑戰(zhàn)。

HCLSoftware 執(zhí)行副主席 Rajesh Iyer 表示：「對(duì) API 的依賴(lài)日益增加，令強(qiáng)大的 API 安全性成為董事會(huì)層級(jí)的關(guān)注，所有客戶(hù)都希望改善其安全狀態(tài)並保護(hù)其數(shù)碼生態(tài)系統(tǒng)。

2023 年，無(wú)論是 API 攻擊的總數(shù)，還是與 API 漏洞相關(guān)的資料外洩比例，都比前幾年大幅增加，而且趨勢(shì)方興未艾。在 Salt Security 最近發(fā)表的 2024 年 API 安全狀態(tài)報(bào)告中，37% 的受訪(fǎng)機(jī)構(gòu)表示曾發(fā)生 API 相關(guān)的安全事故，是前一年的兩倍。僅在 2024 年的前六個(gè)月，各間新聞機(jī)構(gòu)就報(bào)導(dǎo)了多個(gè)行業(yè)的大規(guī)模 API 相關(guān)攻擊，包括社交媒體和檔案分享平臺(tái)、科技公司和電子商務(wù)網(wǎng)站等等，導(dǎo)致數(shù)百萬(wàn)使用者的資料外洩。

API 已經(jīng)無(wú)處不在，許多公司甚至不知道自己正在使用多少 API。中型和大型組織的數(shù)目，可輕易達(dá)到數(shù)百個(gè)之多。API 現(xiàn)在在每個(gè)行業(yè)中都扮演了多個(gè)角色，最顯然在功能方面，例如網(wǎng)上購(gòu)物、媒體交付、付款閘道、工作流程自動(dòng)化、微服務(wù)、軟件開(kāi)發(fā)等功能， 此類(lèi)例子不勝枚舉。這表示保護(hù) API 安全的第一步，就是收集完整且精確的使用清單。

HCL AppScan 技術(shù)總監(jiān) Colin Bell 表示：「HCL AppScan API Security 的主要功能之一是持續(xù)發(fā)現(xiàn)和記錄組織的整個(gè) API 庫(kù)存，使安全團(tuán)隊(duì)能夠深入了解其整體安全狀態(tài)?！?/p>

API 攻擊的上升趨勢(shì)促使開(kāi)放式 Web 應(yīng)用程式安全項(xiàng)目 (Open Web Application Security Project; OWASP) 創(chuàng)造了 OWASP API 安全十大排行榜：一份特別與 API 相關(guān)的最重要安全風(fēng)險(xiǎn)清單，旨在幫助組織了解並減輕與 API 弱點(diǎn)相關(guān)的風(fēng)險(xiǎn)，其中包括組織在保護(hù) API 時(shí)應(yīng)專(zhuān)注的關(guān)鍵領(lǐng)域，例如破壞的物件層級(jí)授權(quán) (Broken Object Level Authorization; BOLA)、過(guò)度資料曝光，以及安全性錯(cuò)誤設(shè)定等。根據(jù) Salt Security 的 2024 年 API 安全狀態(tài)報(bào)告，80% 的攻擊嘗試?yán)靡粋€(gè)或多個(gè) OWASP API 前 10 方法，但只有大約 58% 受訪(fǎng)者將其安全性努力集中在這個(gè)列表上。

Salt Security 行政總裁暨聯(lián)合創(chuàng)辦人 Michael Nicosia 表示：「隨著 API 安全事故和法規(guī)監(jiān)督的增加，機(jī)構(gòu)需要在其 API 生態(tài)系統(tǒng)中讓合規(guī)性持續(xù)下去。透過(guò)結(jié)合 HCL AppScan 強(qiáng)大的掃描功能與 Salt Security 的即時(shí)管理和攻擊面的可見(jiàn)性，包括我們發(fā)現(xiàn)的無(wú)文件和影子 API，我們提供統(tǒng)一的洞察分析和對(duì)整個(gè) API 環(huán)境更深入的能見(jiàn)度。這使機(jī)構(gòu)能夠在整個(gè) API 生命週期中主動(dòng)識(shí)別風(fēng)險(xiǎn)並維持遵守基本標(biāo)準(zhǔn)，例如支付卡產(chǎn)業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)、通用數(shù)據(jù)保護(hù)條例 (GDPR) 和健康保險(xiǎn)流通與責(zé)任法案 (HIPAA)?！?/p>

HCL AppScan API Security 可確保 100％ 涵蓋 OWASP API 安全十大名單，並為組織提供眾多功能，以實(shí)現(xiàn)更強(qiáng)大的 API 安全，包括：

• 透過(guò)經(jīng)專(zhuān)家訓(xùn)練的人工智能技術(shù) API 探索平臺(tái)，減少安全性盲點(diǎn)
• 發(fā)現(xiàn)和清查所有 API，包括影子和殭屍 API
• 確定傳輸過(guò)程中的敏感資料，並確保遵守相關(guān)法規(guī)（例如 GDPR、HIPAA 和 PCI DSS）
• 將 API 連結(jié)至擁有者和功能
• 深入了解整個(gè) API 環(huán)境的安全狀況
• 在以人工智能為基礎(chǔ)的洞察分析協(xié)助下，可評(píng)估風(fēng)險(xiǎn)最高的 API 資產(chǎn)並排定優(yōu)先順序，以確保運(yùn)行時(shí)和開(kāi)發(fā)過(guò)程中的企業(yè) API 標(biāo)準(zhǔn)
• 使用預(yù)先建立的政策範(fàn)本和廣泛的 API 政策庫(kù)，採(cǎi)用業(yè)界最佳做法
• 整合 API 特定的 DAST 漏洞測(cè)試，並使用最新規(guī)格、商業(yè)邏輯和 API 組態(tài)資料，以提高準(zhǔn)確性

有關(guān) HCL AppScan API Security 的更多資訊，請(qǐng)瀏覽：https://www.hcl-software.com/appscan

HCLSoftware 簡(jiǎn)介

HCLSoftware 是軟件創(chuàng)新的全球領(lǐng)導(dǎo)者，也是 HCLTech 的軟件部門(mén)。我們?cè)诟鱾€(gè)行業(yè)中開(kāi)發(fā)、行銷(xiāo)、銷(xiāo)售和支援轉(zhuǎn)型解決方案，包括商業(yè)與產(chǎn)業(yè)、智能營(yíng)運(yùn)、全方位體驗(yàn)、資料與分析，以及網(wǎng)路安全。我們對(duì)客戶(hù)成功的承諾，以及誠(chéng)信、包容、創(chuàng)造價(jià)值、以人為中心和社會(huì)責(zé)任等核心價(jià)值觀(guān)，推動(dòng)我們提供一流的軟件產(chǎn)品，使機(jī)構(gòu)能夠?qū)崿F(xiàn)目標(biāo)。憑藉豐富的開(kāi)拓精神，HCLSoftware 為 20,000 多間機(jī)構(gòu)提供服務(wù)，其中包括大部分《財(cái)富雜誌》100 強(qiáng)和近一半《財(cái)富雜誌》 500 強(qiáng)機(jī)構(gòu)。進(jìn)一步了解我們?nèi)绾沃_(dá)成目標(biāo)，請(qǐng)瀏覽 http://www.hcl-software.com/www.hcl-software.com。