L’année dernière, Gartner a prédit que les attaques d’API finiraient par être le vecteur d’attaque le plus fréquent en 2022. Bien qu’il reste incertain si cela est vrai, compte tenu du fait que l’exploitation de la vulnérabilité de l’API de Twitter a exposé les données de 5.4 millions d’utilisateurs, il est clair qu’ils sont extrêmement fiables.
Dans un effort pour aider les groupes de sécurité à faire face à ces risques, la start-up de cybersécurité Wib a annoncé aujourd’hui le lancement de ce qu’elle prétend être le tout premier API PenTesting-as-a-service (PTaaS) du marché, qui est créé pour vérifier les vulnérabilités de la sécurité des applications, de l’API et de la logique d’organisation.
Wib a récemment révélé avoir levé 16 millions de dollars de financement et permet aux utilisateurs de créer un stock total d’API, de produire de la documentation et d’améliorer leur présence sur la surface d’attaque Région.
Dans ces circonstances, le dépistage de la pénétration offre aux équipes de sécurité une vue plus précise de la posture de sécurité des API de leur organisation afin qu’elles puissent reconnaître et atténuer les points d’entrée potentiels avant que les cybercriminels ne puissent les exploiter.
Occasion
Sécurité intelligente Summit
Découvrez le rôle essentiel de l’IA et du ML dans la cybersécurité et des études de cas spécifiques à l’industrie le 8 décembre. Inscrivez-vous dès aujourd’hui pour votre pass gratuit.
Inscrivez-vous maintenant
Rattraper son retard avec la sécurité des API
La déclaration vient alors que les attaques contre les API continuent d’augmenter, une étude de recherche montrant que 94 % des organisations ont rencontré des problèmes de sécurité dans les API de production.
Pour aggraver les choses, de nombreux groupes de sécurité ignorent comment réagir à ces dangers, 61 % d’entre eux n’ayant aucune technique de sécurité API ou n’ayant qu’une stratégie standard.
La réalité est que de nombreuses entreprises rattrapent leur retard sur la sécurité des API après avoir adopté le cloud computing et les microservices.
« La plupart de ces zones aveugles sont exposées car les entreprises acceptent une méthode basée sur l’API et passent à une architecture basée sur les microservices, ce qui modifie leurs zones de surface d’attaque, mais leurs défenses n’ont pas été développées pour cette structure et n’ont pas encore développé pour le couvrir », a déclaré Chuck Herrin, CTO de Wib. « L’adoption dépasse constamment la sécurité, et cette fois n’est pas différente. Ce qui est différent cette fois, c’est que le trafic API représente actuellement 91 % du trafic Web, tandis que de nombreux défenseurs ignorent les API en tant que vecteur d’attaque », a déclaré Herrin.
En offrant un service de test d’intrusion spécialement conçu, Wib offre aux entreprises un accès aux compétences et aux technologies dont elles ont besoin pour découvrir les dangers au niveau de l’API.
Après chaque test, les groupes de sécurité reçoivent un rapport d’évaluation complet des vulnérabilités déterminées ainsi qu’un score de gravité du danger basé sur le calculateur de matrice cybernétique du NIST et une stratégie de feuille de route de remédiation avec des recommandations sur la façon de réduire les vulnérabilités.
Examen du marché de la sécurité des API
Wib n’est qu’une des nombreuses entreprises du marché international de la sécurité des API, que les scientifiques ont évalué à 783,9 millions de dollars en 2021 et s’attendent à atteindra une valeur de 984,1 millions de dollars en 2022.
La société est en concurrence avec une série de concurrents sur le marché composé de Salt Security, qui a levé 140 millions de dollars en financement de série D plus tôt cette année, et offre un artificiel plate-forme basée sur l’intelligence (IA) et l’apprentissage automatique (ML) pour l’inventaire des API et des informations exposées avec des capacités d’analyse OAS.
Un autre concurrent important est NoName Security, une plate-forme de sécurité API qui reconnaît les vulnérabilités et les erreurs de configuration tout en fournissant aux groupes de sécurité des capacités de détection et d’action automatisées. NoName Security a récemment levé 135 millions de dollars dans le cadre d’un cycle de financement de série C en décembre 2021.
Cependant, Herrin affirme que la technique de filtrage de pénétration polyvalente de WIB et le manque de confiance dans le trafic API pour identifier les risques sont ce qui sépare à partir de ces outils existants.
« Ces deux « licornes » se concentrent sur une vue basée sur le trafic de production, ce qui est un objectif utile, mais insuffisant pour découvrir des angles morts comme les API zombies (API exposées mais sans aucun trafic régulier) ou les API qui ne communiquent pas sur les voies de circulation prévues », a déclaré Herrin.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de mieux comprendre les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos instructions.
Toute l’actualité en temps réel, est sur L’Entrepreneur
