03/04/24
Российская компания "Вебмониторэкс" представила обновление платформы Webmonitorx WAF/WAAP, а также анонсировала сразу 4 новых продукта для защиты API: "Тестирование API", "Защита API", "Структура API" и "Сканер".
Новые продукты призваны изменить подход к управлению и защите API, открыв новые возможности для клиентов компании.
Вебмониторэкс "Тестирование API"
Это инструмент для поиска ошибок, уязвимостей, включая 0-day уязвимости в веб-приложениях и API на основе OpenAPI-спецификации (OAS).
Важные функции продукта:
- проверка API по OAS, указанной вручную или полученной из продукта "Структура API";
- нативная интеграция в цикл разработки API, в CI-/CD-пайплайне;
- фаззинг эндпоинтов и параметров API для покрытия того, что не описанов в OAS;
- поиск инъекций, покрытие OWASP TOP 10 & OWASP API TOP 10.
Коммерческий релиз продукта "Тестирование API" (API DAST) запланирован на конец апреля 2024 г., но уже сейчас он доступен для тестирования и покупки.
Вебмониторэкс "Защита API"
"Защита API" — это инструмент для фиксации OAS и валидации запросов к API в рамках позитивной модели. Он может быть использован как локальный компонент без подключения к облаку, так и облачное решение с возможностью интеграции с облачным ЛК.
Основная функциональность продукта "Защита API":
- усиление защиты REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0. (позитивная модель);
- предотвращение утечек данных путем проверки ответов приложения на соответствие заявленной спецификации;
- валидация JWT-токенов в OAuth 2.0 аутентификации;
- обнаружение Shadow API (теневая версия API может содержать устаревшие, небезопасные, незащищенные, развернутые для отладки методы и эндпоинты, и может стать причиной утечек данных и компрометации системы);
- логирование запросов ко всем эндпоинтам API, которых нет в спецификации, в случае, если приложение отвечает кодом 2xx или 5xx;
- блокировка запросов с утекшими токенами, куками и пр.
Файрвол "Защита API" уже доступен для заказчиков.
Вебмониторэкс "Структура API"
"Структура API" (API Discovery) – это проверенное решение, которое ранее поставлялось как компонент Вебмониторэкс WAF, но теперь стало отдельным продуктом.
Его использование позволит:
- ранжировать эндпоиты по уровню риска;
- показывать уязвимости, ПДн;
- показывать точки аутентификации;
- показывать потенциальные точки для BOLA;
- выгружать спецификации или их фрагменты;
- обеспечивать навигацию по спецификации, по именам параметров и типам передаваемых данных, типам содержимого;
- проводить Virtual Patching (в интеграции с WAF).
Продукт "Структура API" сохранил глубокую интеграцию с WAF и может поставляться и самостоятельно, и как компонент платформы в составе Вебмониторэкс WAF.
Вебмониторэкс "Сканер"
"Сканер API" проводит инвентаризацию периметра, поиск уязвимостей и предоставляет удобный интерфейс для работы с найденными уязвимостями. Это классический сканер в формате EASM (External Attack Surface Management), заточенный на работу с Web.
Из интересной функциональности продукта "Cканер API" стоит отметить:
- управление расписанием сканирования;
- Shodan-like поиск;
- единый workflow обработки уязвимостей;
- фокусировка на веб и интеграция с WAF;
- нативное управление через API.
Коммерческий релиз Вебмониторэкс "Сканер" будет доступен для тестирования в IV квартале 2024 г.
"Мы гордимся тем, что наша платформа Вебмониторэкс продолжает развиваться и предлагать инновационные решения для наших клиентов," - отмечает Лев Палей, директор по информационной безопасности "Вебмониторэкс" – "Мы уверены, что новые продукты по управлению и защите API помогут компаниям повысить защищенность и эффективность своих веб-приложений, а при необходимости безопасно реализовать концепцию API First".
Подробности можно найти в официальном телеграм-канале компании "Вебмониторэкс": https://t.me/WMXWAS
