Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Компания "Вебмониторэкс" анонсировала 4 продукта для защиты API

03/04/24

ArsA-130_resized

Российская компания "Вебмониторэкс" представила обновление платформы Webmonitorx WAF/WAAP, а также анонсировала сразу 4 новых продукта для защиты API: "Тестирование API", "Защита API", "Структура API" и "Сканер".

Новые продукты призваны изменить подход к управлению и защите API, открыв новые возможности для клиентов компании.

Вебмониторэкс "Тестирование API"

Это инструмент для поиска ошибок, уязвимостей, включая 0-day уязвимости в веб-приложениях и API на основе OpenAPI-спецификации (OAS).

Важные функции продукта:

  • проверка API по OAS, указанной вручную или полученной из продукта "Структура API";
  • нативная интеграция в цикл разработки API, в CI-/CD-пайплайне;
  • фаззинг эндпоинтов и параметров API для покрытия того, что не описанов в OAS;
  • поиск инъекций, покрытие OWASP TOP 10 & OWASP API TOP 10.

Коммерческий релиз продукта "Тестирование API" (API DAST) запланирован на конец апреля 2024 г., но уже сейчас он доступен для тестирования и покупки.

Вебмониторэкс "Защита API"

"Защита API" — это инструмент для фиксации OAS и валидации запросов к API в рамках позитивной модели. Он может быть использован как локальный компонент без подключения к облаку, так и облачное решение с возможностью интеграции с облачным ЛК.

Основная функциональность продукта "Защита API":

  • усиление защиты REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0. (позитивная модель);
  • предотвращение утечек данных путем проверки ответов приложения на соответствие заявленной спецификации;
  • валидация JWT-токенов в OAuth 2.0 аутентификации;
  • обнаружение Shadow API (теневая версия API может содержать устаревшие, небезопасные, незащищенные, развернутые для отладки методы и эндпоинты, и может стать причиной утечек данных и компрометации системы);
  • логирование запросов ко всем эндпоинтам API, которых нет в спецификации, в случае, если приложение отвечает кодом 2xx или 5xx;
  • блокировка запросов с утекшими токенами, куками и пр.

Файрвол "Защита API" уже доступен для заказчиков.

Вебмониторэкс "Структура API"

"Структура API" (API Discovery) – это проверенное решение, которое ранее поставлялось как компонент Вебмониторэкс WAF, но теперь стало отдельным продуктом.

Его использование позволит:

  • ранжировать эндпоиты по уровню риска;
  • показывать уязвимости, ПДн;
  • показывать точки аутентификации;
  • показывать потенциальные точки для BOLA;
  • выгружать спецификации или их фрагменты;
  • обеспечивать навигацию по спецификации, по именам параметров и типам передаваемых данных, типам содержимого;
  • проводить Virtual Patching (в интеграции с WAF).

Продукт "Структура API" сохранил глубокую интеграцию с WAF и может поставляться и самостоятельно, и как компонент платформы в составе Вебмониторэкс WAF.

Вебмониторэкс "Сканер"

"Сканер API" проводит инвентаризацию периметра, поиск уязвимостей и предоставляет удобный интерфейс для работы с найденными уязвимостями. Это классический сканер в формате EASM (External Attack Surface Management), заточенный на работу с Web.

Из интересной функциональности продукта "Cканер API" стоит отметить:

  • управление расписанием сканирования;
  • Shodan-like поиск;
  • единый workflow обработки уязвимостей;
  • фокусировка на веб и интеграция с WAF;
  • нативное управление через API.

Коммерческий релиз Вебмониторэкс "Сканер" будет доступен для тестирования в IV квартале 2024 г.

"Мы гордимся тем, что наша платформа Вебмониторэкс продолжает развиваться и предлагать инновационные решения для наших клиентов," - отмечает Лев Палей, директор по информационной безопасности "Вебмониторэкс" – "Мы уверены, что новые продукты по управлению и защите API помогут компаниям повысить защищенность и эффективность своих веб-приложений, а при необходимости безопасно реализовать концепцию API First".

Подробности можно найти в официальном телеграм-канале компании "Вебмониторэкс": https://t.me/WMXWAS 

Темы:Безопасная разработкаAPIWAFВебмониторэкс
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
    Борис Позин, технический директор ЗАО "ЕС-лизинг", д.т.н., профессор базовой кафедры “Информационно-аналитические системы” МИЭМ НИУ ВШЭ, главный научный сотрудник ИСП РАН
    Проблема обнаружения уязвимостей и недекларированных возможностей специалистами в жизненном цикле ПО автоматизированных систем становится все более актуальной в последние годы, особенно в связи с активизацией работ по импортозамещению, использованием свободного ПО, развитием масштабных проектов систем корпоративного уровня в различных отраслях народного хозяйства.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • SIEM – сложно и дорого? Уже нет!
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    На российском рынке представлены SIEM на любой вкус, но многие все еще думают, что данный класс решений существует исключительно для компаний, имеющих серьезные бюджеты и большую команду ИБ-специалистов. В статье мы опровергнем распространенный миф и разберем ключевые преимущества готовящейся к выходу новой версии KOMRAD Enterprise SIEM 4.5.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...