API security
Invicti API Security
Invicti API Security – это дополнительный модуль (add-on) для платформы динамического тестирования безопасности веб-приложений Invicti, предоставляющий возможности обнаружения API.
Американская компания Invicti Security предоставляет продукты для безопасности, которые за многие годы зарекомендовали себя для организаций из разных отраслей, в том числе лидеров из списка Fortune 500.
Запрос на бесплатное тестирование Invicti API Security
среднее количество API на одно веб-приложение в большинстве компаний
%
организаций не ведут точную инвентаризацию своих API
%
предприятий столкнулись с инцидентом безопасности из-за API
%
разработчиков разворачивают API в продакшн еженедельно или ежемесячно
%
предприятий вносят изменения в API ежедневно или еженедельно
%
трафика в Интернете составляют запросы API
Основной функционал
Какие вызовы решает Invicti API Security?
Незадокументированные API
Такие «теневые» прикладные программные интерфейсы являются частью поверхности атаки, которая совсем не контролируется, что создает значительную угрозу безопасности организации. Invicti API Security находит такие API, что позволяет снизить риски.
Неактуальные версии спецификаций API
Это распространенная проблема в средах, где API часто меняются, и коммуникация между разработчиками и командой безопасности не успевает за этим темпом. Чтобы преодолеть эти трудности, Invicti API Security регулярно синхронизирует спецификации в консоль платформы, предоставляя команде полную видимость.
Проблемы с инвентаризацией
Когда в организации много API, отдельной головной болью является их инвентаризация, ведь важно не пропустить ни один ресурс. Для упрощения этого процесса Invicti API Security помещает обнаруженные прикладные программные интерфейсы в один консолидированный список для максимального удобства специалистов.
Разветвление инструментов и отсутствие консолидации
Большое количество инструментов может создавать путаницу для работающих с ними команд. Поэтому Invicti на одной платформе объединяет обнаружение и сканирование API, а также тестирование и поиск веб-сайтов, доступных в Интернете.
Технологии Invicti API Security
Автоконфигурация
Сканирует имеющиеся в консоли таргеты, доступные через HTTP/HTTPS, на открытые порты и доступные URL-адреса для поиска Swagger2 и OpenAPI3 спецификаций (каждые 48 часов).
Безагентное обнаружение API
Автоматическое создание трафика при сканировании на основе которого реконструируются спецификации API, работает внешне и не требует установки агента.
Анализ сетевого трафика
Анализирует трафик в сети для обнаружения запросов REST API и их реконструкции в OpenAPI3 спецификации после нахождения трех или более API-интерфейсов.
Интеграция с системами управления API
Автоматически синхронизирует файлы спецификаций API (Swagger2, OpenAPI3) из систем управления API в консоли Invicti каждые 24 часа.