"วิบ" บุกเบิกบริการทดสอบการเจาะระบบเอพีไอเป็นรายแรกของอุตสาหกรรม

01 Dec 2022

ผู้บุกเบิกด้านความมั่นคงปลอดภัยของเอพีไอรายนี้ เดินหน้าเปิดตัวนวัตกรรมบริการที่บรรลุความสำเร็จด้านการปฏิบัติตามกฎระเบียบ การประเมินความเสี่ยง และการมองเห็นได้ของเอพีไอ

วิบ (Wib) สตาร์ทอัพด้านความมั่นคงปลอดภัยไซเบอร์ที่เติบโตอย่างรวดเร็ว ซึ่งเป็นผู้บุกเบิกยุคใหม่ในด้านความมั่นคงปลอดภัยของเอพีไอ ได้ประกาศเปิดตัวบริการทดสอบการเจาะระบบเอพีไอ (API PenTesting-as-a-Service หรือ PTaaS) เป็นรายแรกของอุตสาหกรรม บริการดังกล่าวนี้ออกแบบมาเพื่อช่วยองค์กรต่าง ๆ ดำเนินการเชิงรุกเพื่อให้ครอบคลุมมาตรฐานความมั่นคงปลอดภัยของข้อมูล PCI-DSS 4.0 สำหรับการทดสอบความมั่นคงปลอดภัยของแอปพลิเคชัน เอพีไอ และความเปราะบางในตรรกะทางธุรกิจของการออกแบบโปรแกรม

จากรายงานของการ์ทเนอร์ (Gartner) 90% ของแอปพลิเคชันที่ทำงานบนเว็บ มีพื้นที่การโจมตีผ่านเอพีไอมากกว่าในส่วนต่อประสานผู้ใช้ (UI) และการละเมิดเอพีไอจะเป็นวิธีการโจมตีที่เกิดขึ้นบ่อยที่สุด วิบเล็งเห็นภูมิทัศน์การโจมตีที่เปลี่ยนแปลงไปนี้ โซลูชันบริการทดสอบการเจาะระบบเอพีไอ (PTaaS) ของวิบ จึงสอดรับกับข้อกำหนดที่เปลี่ยนแปลงไปสำหรับกรอบการปฏิบัติต่าง ๆ อย่างเช่นมาตรฐานความมั่นคงปลอดภัยของข้อมูลสำหรับอุตสาหกรรมบัตรชำระเงิน (PCI DSS) ขณะที่มีการปรับให้สอดคล้องกับสภาพความเป็นจริงในแง่ของความมั่นคงปลอดภัยของเว็บสมัยใหม่ ซึ่งทราฟฟิกของเอพีไอมีสัดส่วน 91% ของทราฟฟิกบนเว็บทั้งหมด แต่ปัจจุบันการครอบคลุมเอพีไอในการทดสอบการเจาะระบบกลับยังเป็นสิ่งที่มักจะขาดหายไป

สำหรับองค์กรที่อยู่ภายใต้ข้อกำหนดที่เคร่งครัดของมาตรฐาน PCI DSS สำหรับการทดสอบการเจาะระบบ ซึ่งในเวอร์ชัน 4.0 นี้ครอบคลุมถึงการละเมิดเอพีไอและการโจมตีตรรกะทางธุรกิจของโปรแกรมโดยเฉพาะ บริการที่ไม่เหมือนที่อื่นใดของวิบมอบการทดสอบการเจาะระบบเอพีไอแบบตามสั่ง ที่ออกแบบมาเพื่อให้การตรวจสอบที่แข็งแกร่งสำหรับคุณสมบัติความมั่นคงปลอดภัยของเอพีไอเพื่อสนับสนุนการปฏิบัติตามมาตรฐาน PCI ตลอดจนกรอบการปฏิบัติและกฎระเบียบอื่น ๆ อย่างเช่น กฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรป (GDPR), กฎหมายว่าด้วยความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนีย (CCPA), การควบคุมระบบและองค์กร-2 (SOC-2), องค์กรมาตรฐานสากล (ISO) สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) และอื่นๆ

วิบมีความเหมาะสมอย่างไม่เหมือนที่อื่นใดในการเป็นผู้นำแนวทางเชิงนวัตกรรมนี้ วิบจะใช้ประโยชน์จากทักษะของทีมงานด้านความมั่นคงปลอดภัยเชิงรุก (Offensive Security) เพื่อส่งมอบ 'รายงานขั้นต้น' ภายในเวลาเพียงสามสัปดาห์ ซึ่งประกอบด้วย

-  รายงานประเมินช่องโหว่ที่ระบุได้ทั้งหมดฉบับสมบูรณ์

-  คะแนนความรุนแรงของความเสี่ยง ตามการคำนวณเมทริกซ์ไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ

-  รายงานการฟื้นฟูเชิงบริบทสำหรับช่องโหว่ทั้งหมดที่ตรวจพบ

-  แผนโร้ดแมปการฟื้นฟูพร้อมด้วยข้อแนะนำการดำเนินการ ประกอบกับการตรวจสอบรับรองหลังการฟื้นฟูตามข้อกำหนดของมาตรฐาน PCI

-  บริการฝึกอบรมและให้คำปรึกษาโดยเฉพาะกับผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของวิบ 

บริการที่เป็นการบุกเบิกนวัตกรรมของวิบนี้ ออกแบบมาเพื่อไม่ให้มีการล่วงล้ำและไม่มีความยุ่งยากสำหรับลูกค้า เนื่องจากวิบจำลองการโจมตีระบบเอพีไอของลูกค้าโดยไม่จำเป็นต้องเชื่อมต่อกับระบบแต่อย่างใด และเมื่อประกอบกับแพลตฟอร์มของวิบ บริการดังกล่าวนี้เป็นบริการเดียวที่มอบการมองเห็นได้อย่างสมบูรณ์ รวมถึงการจัดการรายการอัตโนมัติ การจัดทำเอกสารกำกับระบบเอพีไออัตโนมัติ และการจำลองการโจมตีสำหรับการทดสอบและ/หรือระบบการสร้างคุณค่าแก่องค์กร แนวทางแบบองค์รวมที่ไม่เหมือนอื่นใดของวิบเป็นทางเดียวที่จะคุ้มครองระบบนิเวศเอพีไออย่างสมบูรณ์แท้จริง ตั้งแต่รหัสต้นฉบับ (source code) ทราฟฟิกการสร้างคุณค่าแก่องค์กร ไปจนถึงการโจมตีตรรกะทางธุรกิจของโปรแกรม พร้อมด้วยการตรวจสอบอย่างมืออาชีพจากมุมมองจากภายนอกของแฮ็คเกอร์ระบบเอพีไอมืออาชีพ

"เรากล่าวเสมอว่าการป้องกันของคุณควรจะมีข้อมูลจากเชิงรุก และด้วยทีมนักทดสอบการเจาะระบบเอพีไอของวิบซึ่งอยู่ในระดับแนวหน้าของโลก เรามีความเหมาะสมอย่างไม่เหมือนที่อื่นใด ในการมอบการตรวจสอบรับรองคุณสมบัติความมั่นคงปลอดภัยของระบบเอพีไอและแอปพลิเคชันที่ใช้งานระบบเอพีไอ โดยเป็นการตรวจสอบจากมุมมองเดียวกันกับผู้โจมตีจากภายนอก" ชัค เฮอร์ริน (Chuck Herrin) ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของวิบ กล่าว "เช่นนี้เป็นส่วนสำคัญที่เราพบว่ามักขาดหายไป และทีมงานของเราสร้างขึ้นเพื่อที่จะเติมเต็มช่องว่างนี้เพื่อให้ลูกค้าของเราสามารถค้นพบ เข้าใจ และปกป้องระบบเอพีไอของตนขณะที่มุ่งสร้างความมั่นคงปลอดภัยให้กับพื้นที่การโจมตีที่มีการพัฒนาเปลี่ยนแปลงไป เป้าหมายของเราคือการทำให้ปลอดภัยที่จะพัฒนานวัตกรรม ตลอดจนช่วยลูกค้าของเราในการทำให้เกิดความมั่นคงปลอดภัย การระบุความเสี่ยง และการปฏิบัติตามกฎระเบียบของระบบนิเวศเอพีไอที่สนับสนุนธุรกิจของพวกเขา"

http://www.wib.com/api-pen-testing-as-a-service

เกี่ยวกับวิบ

วิบ (Wib) บุกเบิกยุคใหม่ในการรักษาความปลอดภัย API ด้วยแพลตฟอร์มความปลอดภัย API แบบองค์รวมแพลตฟอร์มแรกของอุตสาหกรรม ทำให้มองเห็นและควบคุมทั่วทั้งระบบนิเวศ API อย่างต่อเนื่องและสมบูรณ์ วิบช่วยให้นักพัฒนาเขียนโค้ดด้วยความมั่นใจ และทีมรักษาความปลอดภัยทำงานด้วยความมั่นคง

ทีมนักพัฒนา ผู้โจมตี ผู้ปกป้อง และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของวิบ ใช้ประสบการณ์และความเชี่ยวชาญในโลกจริงเพื่อกำหนดและพัฒนาโซลูชันเทคโนโลยีที่เป็นนวัตกรรมใหม่ที่ช่วยให้ลูกค้ามีข้อมูลประจำตัว รายการ และความถูกต้องสมบูรณ์ของ API ทั้งหมดไม่ว่าจะอยู่ ณ จุดใดของวงจรชีวิต API โดยที่ไม่กระทบต่อการพัฒนาหรือขัดขวางนวัตกรรม

วิบ สหรัฐอเมริกา 
นาซลี เอคิม (Nazli Ekim)
โซนิก กรุ๊ป (Zonic Group)
อีเมล: [email protected]
โทร: +44 (0) 7384 220223
โทร: +1 917 355 9650

วิบ สหราชอาณาจักร 
มาร์ก เวต (Mark Waite)
โคฮีซีฟ คอมมิวนิเคชันส์ (Cohesive Communications)
อีเมล: [email protected]
โทร: +44 7774 265444