https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

新聞

F5: 超過2/3的API安全事件歸因於API端點不完整的身分認證和授權

2021 / 05 / 04
編輯部
F5: 超過2/3的API安全事件歸因於API端點不完整的身分認證和授權
 F5日前在 Agility 大會宣佈多項應用安全強化方案。新解決方案著重於F5積極改善應用安全的成果,使客戶在越來越仰賴應用程式進行社交互動、醫療保健、重大採購(如購買不動產)時,能提供安全、零摩擦且現代化的數位體驗。再者,這些方案也鞏固了F5在多重雲端應用安全與交付,以及殭屍網路威脅舒緩與反詐欺功能相結合的技術地位,以保護企業與個人免於遭受複雜化的威脅。
 
應用與數位體驗是當今企業與客戶連結的決定性要素,提供雙方無所不在的溝通形式。尤其在疫情影響下,面對面或者以實體地點為基礎的商業模式已降低了優勢性,消費者期望應用功能不斷的擴充,而API成為既有數位方案最快且最有效率增加額外功能的方式之一。在安全團隊正努力學習日益更新的技術,對於保護客戶資料仍是最重要的關鍵。F5 Labs即將發布的2021應用保護報告也強調這一點,報告指出超過三分之二的API安全事件歸因於API端點上不完整的身分認證和授權。
 
F5資安執行副總裁Haiyan Song表示:「API為各領域的企業解鎖並延伸數位體驗扮演至關重要的角色,但不幸的是它也為駭客提供了一個更大的攻擊面。因此,我們相信網路安全的新核心圍繞在於應用程式與API,而專業安全人員最大的挑戰就是要如何保護日益擴增的數位體驗。為協助客戶成功轉型,在安全性上必須由應用程式與API提供與生俱備、連續性、即時的安全保護,並由資料和AI人工智慧協助其安全運作。」

相關文章: F5年度SOAS調查報告:台灣企業高度關注API資安但須強化閘道部署

以應用安全結合策略性詐欺防護

 一年前,F5併購Shape Security,擴充應用安全的SaaS方案,並且取得一個強大的人工智慧分析平台。隨著這次的發布,F5推出三個相關的SaaS方案,運用獨特資料與機器學習能力建立流暢的客戶體驗,排除使用者的登入摩擦並且防範詐欺威脅,這些方案包括Device ID、Shape Recognize和Shape AI Fraud Engine (SAFE)。這些易於部署的方案運用Shape的核心技術和廣大專業能力,保護全球頂尖機構。這些創新方案加入F5擴充中的應用安全方案範疇,F5方案也透過其他策略性收購例如NGINX以及最近的Volterra而獲得強化,其中NGINX方案例如NGINX App Protect能夠支援DevOps對容器、微服務和CI/CD pipelines的使用。
 
Device ID是一種即時且高精準的裝置辨識碼,協助客戶更充分了解裝置與網站和行動應用的互動。該方案採用先進訊號收集和業經驗證的機器學習演算法,根據瀏覽器、作業系統、硬體和網路屬性為每一裝置指定一個獨特辨識碼。客戶可以對重複訪客的裝置進行使用行為分析,以減少詐欺並為已知的良善使用者提供更流暢的體驗,亦即他們可以有更多時間享受數位體驗,減少為了驗證和重複驗證裝置合法性所花費的時間。該方案原先僅免費提供Shape客戶使用,現在免費提供給所有F5客戶,協助客戶加速安全資料與分析旅程。
 
Shape Recognize運用Shape在遙測領域累積的豐富資訊,以登錄歷史紀錄、環境和網路完整性強化Device ID能力,實現更優質的消費者體驗並排除認證摩擦。該方案透過辨識合法使用者,讓已知良善消費者免除過多登入與重複認證所帶來的挫折感,以創造更好的營收。Recognize透過強大的深度分析、行為與脈絡感知能力、以及涵蓋廣大的Shape網路,即時精確辨識再訪客及其他合法使用者。有了此種層級的深度資訊,Web和行動應用能夠動態減少或排除登入摩擦,提高營收並大幅改善消費者便利性。
 
Shape AI Fraud Engine (SAFE)採用一種封閉迴路機器學習方法,即時偵測並阻斷詐欺。SAFE辨識並阻斷帳號劫持、惡意帳號源、盜用帳號惡用、以及其他詐欺活動。SAFE由Shape人工智慧引擎驅動,並且擁有每天評估超過十億交易的資訊資源為後盾,能在使用者的所有活動點找出並排除詐欺行為,包括登入、建立帳號、以及其他可能成為潛在目標的活動。SAFE是一項全代管服務,因此也能減輕反詐欺團隊過重的負荷,阻斷可能造成昂貴調查與修復的威脅。

相關新聞: F5 預測2021:高適應的應用服務關鍵技術「新常態」