Noname Security 노네임시큐리티

노네임 API 보안·관리 플랫폼

Noname API Security Platform

사전 예방적인 완벽한 API 보안 플랫폼을 제공합니다.
Discovery     |     Posture Management     |     Runtime Protection     |     Active Testing     |     Recon

Noname API Security Platform

Noname Security API Platform은 API 보안 취약점이나 잘못된 구성, 로직 공격, 설계 결함으로부터 API 운영 환경을 사전에 보호하며 AI 기반의 자동화된 실시간 탐지 및 대응을 통해 다양한 공격으로부터 API를 보호합니다. 에이전트나 네트워크 수정이 필요하지 않은 대역 외 솔루션으로 API 게이트웨이, 로드 밸런서, 웹 방화벽(WAF) 보다 더 깊이 있는 API의 가시성과 보안을 제공합니다.

API 사용 증가

API는 소프트웨어 및 데이터 자산의 상호 운용성과 유연성, 속도, 휴대성을 지원하는 효율적이고 개발자 친화적인 수단입니다.
다수의 디지털 혁신 이니셔티브가 API 채택을 가속화하고 있습니다.
| 퍼블릭 클라우드 서비스| 오픈뱅킹| 새로운 비즈니스 및 개발자 생태계
| 마이크로서비스 애플리케이션 디자인| 모바일 헬스케어| 백오피스 디지털화

기존의 보안으로는 충분하지 않은 API

| API 게이트웨이 및 웹 방화벽의 한계

  • API 게이트웨이 및 웹 방화벽은 이를 통해 라우팅 되지 않는 API 호출이나 마이크로서비스 API 호출은 인식하지 못함
  • 기존의 API 솔루션으로는 API 표적 공격 또는 남용으로부터 보호할 수 없음
  • API를 통과하는 중요 데이터 유형에 대한 가시성을 제공하기 어려움

| API를 통한 데이터 유출 가능성

  • Gartner에 따르면 "2022년부터 API 남용이 가장 빈번한 공격 경로로 대두돼 기업의 웹 애플리케이션 침해가 발생할 것"이라 발표
  • 모든 데이터 트래픽과 상호작용하는 API를 파악하지 못하면 잠재적인 취약성 및 데이터 유출을 해결하기 어려움
  • 민감한 데이터와 관련된 API에 접근하는 사용자에 대한 가시성 확보 필요

| 실시간으로 이상징후 감지 필요

  • 취약점이나 구성 오류를 확인하기 위해 API 트래픽 및 사용에 대한 지속적인 모니터링 필요
  • 잘못된 구성이나 데이터 정책 위반, 의심스러운 동작이 감지되면 자동으로 각 보안 시스템 및 조직에 할당 필요

| API는 주요 공격 경로

  • API 인벤토리를 제대로 구성하지 않으면 데이터 침해에 대한 위험 수준을 파악하기 어려움
  • 더 이상 관리되지 않은 레거시 또는 섀도, 좀비 API의 악용될 가능성 존재

| 클라우드 위협의 원인인 잘못 구성된 API

  • IBM Security에 따르면 전체 클라우드 침해의 3분의 2가 잘못 구성된 API와 관련이 있음

| OWASP API Security Top 10

  • OWASP API Security Top 10 이외에도 API를 향한 수백 가지 위협이 존재

API 보안에 대한 접근 방식

| 모든 API 검색 및 분류

  • HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC, gRPC를 비롯한 모든 유형의 API를 검색 및 인벤토리 구축
  • API 게이트웨이에서 관리하지 못하는 레거시 및 불량 API를 발견하고 모든 API의 데이터 유형 분류

| API 동작 분석 및 위협 탐지

  • 자동화된 AI 및 머신러닝 기반 탐지를 통해 데이터 유출·변조 및 잘못된 구성, 데이터 정책 위반, 의심스러운 동작, API 보안 공격 등 광범위한 API 취약성을 식별
  • OWASP API Security Top 10을 포함한 수백 가지의 취약점을 탐지하여 자동으로 API를 보호

| 실시간 공격 차단, API 취약점 해결

  • 실시간으로 공격(의심스러운 TCP 세션 등)을 차단하고 잘못된 구성을 수정하며 방화벽 규칙을 자동으로 업데이트 함
  • WAF에 연결하여 의심스러운 동작에 대한 새로운 정책을 생성하고 기존의 워크플로(ITSM, SIEM 등)와 통합

| 운영 전 API 테스트

  • 소프트웨어 개발 라이프사이클 일부로써 API를 적극적으로 테스트하여 API가 운영되기 전에 문제를 식별
  • CI/CD 파이프라인(Jenkins, Postman 등)에 대한 통합 API 별 테스트를 통해 API 보안을 강화하여 효율성 및 확장성 충족

Noname API Security Platform 기능

| API 검색 및 인벤토리 생성

  • API, 도메인, 이슈를 자동으로 검색하고 API 인벤토리 구축
  • API를 통해 민감한 데이터에 접근한 사용자 파악
  • 악용 가능한 공격 경로를 발견하여 취약점이 악용되기 전 제거
더보기 > 

| API 보안 태세 관리

  • 잠재적인 취약점을 식별하여 취약점 발견 시 자동으로 업데이트 적용
  • 취약점을 조기에 발견하고 민감한 데이터를 보호 
  • 변경 사항을 사전에 모니터링하여 위험 제거
더보기 >

| API 런타임 보호

  • 자동화된 AI 및 머신러닝 탐지를 통해 실시간 API 트래픽 분석
  • 데이터 유출 및 변조, 데이터 정책 위반, 의심스러운 동작 등 교정 수행
  • 기존 워크플로 도구와 유연한 통합 운영 지원
더보기 >

| API 보안 테스트

  • 모든 개발 단계에서 API 보안 테스트 수행
  • 운영 전 API 보안 위험이 나타나기 전에 취약점 식별
  • 개발 속도의 저하 없이 CI/CD 파이프라인에 보안 추가 가능
더보기 >

| API 정찰

  • 알려진 취약점을 신속하게 발견하여 교정
  • 워크플로와 통합 운영하여 자동으로 정책 실행
  • 전체적인 API 라이프사이클 가시성 확보
더보기 >