Noname Security 노네임시큐리티
노네임 API 보안·관리 플랫폼
Noname API Security Platform
사전 예방적인 완벽한 API 보안 플랫폼을 제공합니다.
Noname API Security Platform
Noname Security API Platform은 API 보안 취약점이나 잘못된 구성, 로직 공격, 설계 결함으로부터 API 운영 환경을 사전에 보호하며 AI 기반의 자동화된 실시간 탐지 및 대응을 통해 다양한 공격으로부터 API를 보호합니다. 에이전트나 네트워크 수정이 필요하지 않은 대역 외 솔루션으로 API 게이트웨이, 로드 밸런서, 웹 방화벽(WAF) 보다 더 깊이 있는 API의 가시성과 보안을 제공합니다.
API 사용 증가
API는 소프트웨어 및 데이터 자산의 상호 운용성과 유연성, 속도, 휴대성을 지원하는 효율적이고 개발자 친화적인 수단입니다.
다수의 디지털 혁신 이니셔티브가 API 채택을 가속화하고 있습니다.
다수의 디지털 혁신 이니셔티브가 API 채택을 가속화하고 있습니다.
| 퍼블릭 클라우드 서비스| 오픈뱅킹| 새로운 비즈니스 및 개발자 생태계
| 마이크로서비스 애플리케이션 디자인| 모바일 헬스케어| 백오피스 디지털화
기존의 보안으로는 충분하지 않은 API
| API 게이트웨이 및 웹 방화벽의 한계
- API 게이트웨이 및 웹 방화벽은 이를 통해 라우팅 되지 않는 API 호출이나 마이크로서비스 API 호출은 인식하지 못함
- 기존의 API 솔루션으로는 API 표적 공격 또는 남용으로부터 보호할 수 없음
- API를 통과하는 중요 데이터 유형에 대한 가시성을 제공하기 어려움
| API를 통한 데이터 유출 가능성
- Gartner에 따르면 "2022년부터 API 남용이 가장 빈번한 공격 경로로 대두돼 기업의 웹 애플리케이션 침해가 발생할 것"이라 발표
- 모든 데이터 트래픽과 상호작용하는 API를 파악하지 못하면 잠재적인 취약성 및 데이터 유출을 해결하기 어려움
- 민감한 데이터와 관련된 API에 접근하는 사용자에 대한 가시성 확보 필요
| 실시간으로 이상징후 감지 필요
- 취약점이나 구성 오류를 확인하기 위해 API 트래픽 및 사용에 대한 지속적인 모니터링 필요
- 잘못된 구성이나 데이터 정책 위반, 의심스러운 동작이 감지되면 자동으로 각 보안 시스템 및 조직에 할당 필요
| API는 주요 공격 경로
- API 인벤토리를 제대로 구성하지 않으면 데이터 침해에 대한 위험 수준을 파악하기 어려움
- 더 이상 관리되지 않은 레거시 또는 섀도, 좀비 API의 악용될 가능성 존재
| 클라우드 위협의 원인인 잘못 구성된 API
- IBM Security에 따르면 전체 클라우드 침해의 3분의 2가 잘못 구성된 API와 관련이 있음
| OWASP API Security Top 10
- OWASP API Security Top 10 이외에도 API를 향한 수백 가지 위협이 존재
API 보안에 대한 접근 방식
| 모든 API 검색 및 분류
- HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC, gRPC를 비롯한 모든 유형의 API를 검색 및 인벤토리 구축
- API 게이트웨이에서 관리하지 못하는 레거시 및 불량 API를 발견하고 모든 API의 데이터 유형 분류
| API 동작 분석 및 위협 탐지
- 자동화된 AI 및 머신러닝 기반 탐지를 통해 데이터 유출·변조 및 잘못된 구성, 데이터 정책 위반, 의심스러운 동작, API 보안 공격 등 광범위한 API 취약성을 식별
- OWASP API Security Top 10을 포함한 수백 가지의 취약점을 탐지하여 자동으로 API를 보호
| 실시간 공격 차단, API 취약점 해결
- 실시간으로 공격(의심스러운 TCP 세션 등)을 차단하고 잘못된 구성을 수정하며 방화벽 규칙을 자동으로 업데이트 함
- WAF에 연결하여 의심스러운 동작에 대한 새로운 정책을 생성하고 기존의 워크플로(ITSM, SIEM 등)와 통합
| 운영 전 API 테스트
- 소프트웨어 개발 라이프사이클 일부로써 API를 적극적으로 테스트하여 API가 운영되기 전에 문제를 식별
- CI/CD 파이프라인(Jenkins, Postman 등)에 대한 통합 API 별 테스트를 통해 API 보안을 강화하여 효율성 및 확장성 충족
Noname API Security Platform 기능
| API 검색 및 인벤토리 생성
- API, 도메인, 이슈를 자동으로 검색하고 API 인벤토리 구축
- API를 통해 민감한 데이터에 접근한 사용자 파악
- 악용 가능한 공격 경로를 발견하여 취약점이 악용되기 전 제거
| API 보안 태세 관리
- 잠재적인 취약점을 식별하여 취약점 발견 시 자동으로 업데이트 적용
- 취약점을 조기에 발견하고 민감한 데이터를 보호
- 변경 사항을 사전에 모니터링하여 위험 제거
| API 런타임 보호
- 자동화된 AI 및 머신러닝 탐지를 통해 실시간 API 트래픽 분석
- 데이터 유출 및 변조, 데이터 정책 위반, 의심스러운 동작 등 교정 수행
- 기존 워크플로 도구와 유연한 통합 운영 지원
| API 보안 테스트
- 모든 개발 단계에서 API 보안 테스트 수행
- 운영 전 API 보안 위험이 나타나기 전에 취약점 식별
- 개발 속도의 저하 없이 CI/CD 파이프라인에 보안 추가 가능
| API 정찰
- 알려진 취약점을 신속하게 발견하여 교정
- 워크플로와 통합 운영하여 자동으로 정책 실행
- 전체적인 API 라이프사이클 가시성 확보