กรุงเทพฯ : Checkmarx ผู้นำระดับโลกด้านโซลูชันการทดสอบความปลอดภัยของแอปพลิเคชันที่เน้นนักพัฒนาซอฟต์แวร์เป็นศูนย์กลาง ประกาศในวันนี้ถึงความพร้อมใช้งานของ Checkmarx API Security ซึ่งเป็นโซลูชันระบบรักษาความปลอดภัย API ( Application Programming Interface) “shift-left” ที่แท้จริงตัวแรก จากการเปิดตัว Checkmarx Fusion ที่จัดลำดับความสำคัญและเชื่อมโยงข้อมูลช่องโหว่จากเอ็นจิ้น AppSec ที่แตกต่างกัน
โดยระบบรักษาความปลอดภัยของ Checkmarx API Security ถือว่าเป็นส่วนหนึ่งของแพลตฟอร์มแอปพลิเคชัน Checkmarx One ในอุตสาหกรรมชั้นนำ ที่มุ่งเน้น workflow สำหรับนักพัฒนา โดยให้ความสำคัญกับการตรวจจับ API แอบแฝง รวมถึงแอปพลิเคชันที่ไม่ใช่ของจริงหรือปลอมตัวเข้ามาในระบบ ซึ่งเป็นคุณสมบัติหนึ่งที่สำคัญของโซลูชันที่จะสามารถป้องกันและรักษาความปลอดภัยในทุกขั้นตอนการทำงานของ API ทั้งระบบได้อย่างครบวงจร
ข้อมูลของ Gartner® ระบุว่า “ทุกแอปพลิเคชันบนมือถือที่เชื่อมต่อเว็บสมัยใหม่ หรือแอปพลิเคชันที่โฮสต์บนคลาวด์ต่างใช้และแสดงให้เห็นถึง API โดย API เหล่านี้ ได้มีการถูกใช้เพื่อเข้าถึงข้อมูลและเรียกใช้แอปพลิเคชันในการเชื่อมต่อข้อมูล และเรียกใช้ไปยังคุณสมบัติต่าง ๆ ของแอปพลิเคชัน API ซึ่งจะแสดงให้เห็นได้โดยง่าย แต่ก็ยากในการจำแนก และสิ่งนี้ได้ทำให้เกิดพื้นที่ในการโจมตีที่รวดเร็วมาก ซึ่งเครือข่ายและเครื่องมือในการป้องกันเว็บแบบดั้งเดิมไม่สามารถรับมือกับบรรดาภัยร้ายรูปแบบต่าง ๆ ที่ โจมตี API ได้ รวมถึงหลายรายการที่อธิบายไว้ใน OWASP API Security Top 10”
แม้ว่าข้อเสนอการรักษาความปลอดภัย API อื่น ๆ จะสามารถค้นพบได้เฉพาะ API ที่ปรับใช้แล้วในเวอร์ชั่นที่ใช้งานจริงอยู่แล้วก็ตาม ขณะที่ Checkmarx API Security จะจัดการปัญหาด้านความปลอดภัยก่อนหน้านี้ ในทุกวงจรของการพัฒนาซอฟต์แวร์ ช่วยให้มองเห็นถึงความแตกต่าง ได้แก่
1.ความสามารถในการมองเห็น API ที่ครอบคลุม ในการค้นพบ API แฝงและปลอมตัวมาด้วยความแม่นยำมากที่สุด และให้มุมมองที่ทันสมัยที่สุดสำหรับทุกรูปแบบการโจมตีพื้นที่บน API
2.วิธี Shift-left ที่แท้จริง การตรวจจับ API ในซอร์สโค้ดของแอปพลิเคชั่นเพื่อระบุและแก้ไขปัญหาก่อนหน้าใน SDLC – เร็วขึ้น ด้วยต้นทุนที่น้อยลงและความเสี่ยงที่ลดลง
3.การจัดลำดับความสำคัญในการแก้ไข ช่วยให้นักพัฒนาและทีม AppSec สามารถมุ่งเน้นไปที่การแก้ปัญหาที่สำคัญที่สุดก่อน โดยจัดลำดับความสำคัญช่องโหว่ของ API ตามผลกระทบและความเสี่ยงที่แท้จริง
4.แนวคิดแบบองค์รวมในการรับมือความเสี่ยงของแอปพลิเคชัน โดยการสแกนแอปพลิเคชันทั้งหมดด้วยโซลูชันเดียว โดยไม่จำเป็นต้องใช้เครื่องมือเฉพาะ API เพิ่มเติม เพื่อลดค่าใช้จ่ายที่กดดันทีมอยู่แล้ว
Emmanuel Benzaquen ซีอีโอของ Checkmarx กล่าวว่า การพัฒนาแอปพลิเคชันสมัยใหม่ ขึ้นอยู่กับ API มากขึ้นเรื่อย ๆ ซึ่งเป็นเรื่องค่อนข้างยุ่งยากในการจัดเก็บ และบ่อยครั้งแหล่งข้อมูลเดียวที่สามารถจัดเก็บเอกสารของ API ได้ คืออยู่บนแล็ปท็อปของนักพัฒนา อย่างไรก็ตาม ลูกค้าองค์กรระดับโลกในปัจจุบันล้วนให้ความสำคัญในการเปลี่ยนผ่านไปยังการพัฒนาบนพื้นฐานเทคโนโลยีคลาวด์ ซึ่งเป็นความท้าทายของเราในการนำเสนอระบบโซลูชันเพื่อตอบโจทย์ให้กับลูกค้าองค์กรที่เน้นทำงานบนเทคโนโลยีคลาวด์ และเป้าหมายของ Checkmarx คือการรักษาความปลอดภัยทุกองค์ประกอบของทุกแอปพลิเคชันในลักษณะที่ช่วยให้นักพัฒนาทำงานได้อย่างมีประสิทธิภาพและลดความซับซ้อนของกระบวนการ สำหรับผู้นำ AppSec ดังนั้นสิ่งที่สำคัญคือ การรักษาองค์กรให้มีความคล่องตัวปลอดภัย และมีศักยภาพในการแข่งขัน
รายงานของ Gartner® ยังระบุด้วยว่า การโจมตีบนแอปพลิเคชันกำลังเปลี่ยน ซึ่งจะย้ายไปสู่เรื่องของ API และขั้นตอนในการโจมตีที่มากขึ้น และการละเมิด การแสวงหาประโยชน์จาก API เป็นรูปแบบการโจมตีที่พบเห็นทั่วไปที่มักพบในรายงานเรื่องของการละเมิดทางข้อมูลเสมอ
ทั้งนี้ ทีม DevSecOps ได้ให้ความสำคัญในเรื่องความต้องการในการปรับปรุง การทดสอบ API เพื่อการพัฒนา เพื่อหาแนวทางที่เหมาะสมในเรื่องการทดสอบ API มีการมองเรื่องแนวทางผสมผสานในการใช้เครื่องมือแบบเดิม (อย่างเช่น ข้อมูลสถิติแบบเดิม AST แบบคงที่ [SAST] และ AST แบบไดนามิก [DAST]) และโซลูชันที่เกิดขึ้นใหม่ ซึ่งมุ่งเน้นไปที่ข้อกำหนดของ API โดยเฉพาะ)