API Güvenlik Şirketi Salt Security, mevcut API koruma platformuna entegre edilmiş yeni bir yetenek olan Salt Surface’in piyasaya sürüldüğünü duyurdu. Salt Surface, kuruluşlara kapsamlı bir API saldırısı yüzeyi değerlendirmesi sağlar ve kullanılmadan önce belirli, eyleme geçirilebilir riskleri ortaya çıkarmak için kamuya açık API’lerine ilişkin bir saldırganın gözü görüşü sunar.
Tuz yüzeyi, ileri API saldırganları tarafından kullanılan taktikleri ve teknikleri taklit etmek için titizlikle tasarlanmış aktif bir keşif aracıdır. Birincil amacı, kuruluşların maruz kalan API uç noktalarıyla ilişkili riskleri proaktif olarak tanımlamalarına, doğrulamalarına ve anlamalarına yardımcı olmaktır. Yalnızca mevcut API trafiğini gözlemlemeye dayanan geleneksel pasif keşif yöntemlerinden farklı olarak, tuz yüzeyi aktif keşif tekniklerini kullanır, gizli, takılıleştirilmemiş ve unutulmuş API’leri ortaya çıkarır ve bir kuruluşun mevcut dış saldırı yüzeyinin son derece doğru bir değerlendirmesini oluşturur.
Teknoloji, API güvenlik araştırma alanında tanınmış bir lider olan Salt Labs’tan sürekli uzmanlık ve en son araştırmalarla desteklenmektedir. Bu, Salt Surface’in keşif tekniklerinin saldırganlar tarafından kullanılan en son taktiklerle güncel kalmasını sağlar. Rakip araçlar genellikle büyük miktarlarda ilgisiz veya düşük bağlam verileri sağlarken, tuz yüzeyi ilgili, eyleme geçirilebilir zeka sunmaya odaklanır.
Tuz yüzeyi, riskleri keşfetmek ve bir kuruluşun API saldırı yüzeyini azaltmak için çok yönlü bir yaklaşım sağlar. Bu şunları içerir:
- Güvenlik açığı ve yanlış yapılandırma tespiti: Tarama, keşfedilen API’lerle ilişkili kritik güvenlik risklerini belirlemede oldukça etkilidir. Yaygın ve şiddetli yanlış yapılandırmaları tespit eder, potansiyel güvenlik açıklarını vurgular ve hassas veri maruz kalma örneklerini bulur.
- Kapsamlı API Keşfi: Salt Surface, bir kuruluşun internete dönük API varlıklarını aktif olarak araştırır ve her potansiyel API uç noktasını belirlemek için etki alanlarını ve alt alanlarını kapsamlı bir şekilde inceler. Bu süreç, ekiplerin sadece mevcut trafiği gören yöntemlerle göz ardı edilebilecek gölge ve zombi uç noktalarını ortaya çıkarmasını sağlar.
- Proaktif Duruş Yönetişimi: Tuz yüzeyinden elde edilen bulgular, özellikle keşfedilen varlıklar için özel olarak inşa edilen sağlam bir duruş yönetişim politikalarına karşı otomatik olarak değerlendirilir. Bu, tek bir günlük veya trafik sensörünün dağıtılmasını gerektirmeden güvenlik boşlukları ve politika ihlalleri hakkında anında bilgi sağlar.
- Eylem edilebilir Değerlendirme Raporlama: Tüm keşifler, riskler ve politika ihlalleri tek, konsolide ve kanıta dayalı bir değerlendirme raporunda derlenir. Bu rapor, güvenlik açıklarını etkili bir şekilde ele almak için ihtiyaç duydukları açık, öncelikli bilgileri sağlayarak son derece eyleme geçirilebilir olacak şekilde tasarlanmıştır.
Salt Security’nin CEO’su ve kurucu ortağı Roey Eliyahu, “Proaktif olmak API güvenliğinde artık isteğe bağlı değildir; kritiktir. Tuz yüzeyi, proaktif avantajlı kuruluşlar verir. API’lerini bir saldırganın lensi aracılığıyla görmek ve güvenlik boşluklarını düzeltmek için gereken işlem yapılabilir bağlamı sağlar.” Dedi.
Tuz sonrası güvenlik, Tuz yüzeyini ilk önce BT güvenlik gurusu üzerinde ortaya çıkan gizli API risklerini ortaya çıkarmak için açıklar.