近日，泰雷茲宣布Imperva Application Security平臺(tái)[1]新增檢測(cè)與響應(yīng)功能，以抵御業(yè)務(wù)邏輯攻擊，例如OWASP十大API安全風(fēng)險(xiǎn)中的首要威脅——對(duì)象級(jí)授權(quán)失效（BOLA）。通過(guò)將實(shí)時(shí)檢測(cè)與風(fēng)險(xiǎn)API、BOLA攻擊、未認(rèn)證API和棄用API的自動(dòng)化應(yīng)對(duì)方案相結(jié)合，Imperva Application Security平臺(tái)可在云端和本地環(huán)境中，針對(duì)未經(jīng)授權(quán)的數(shù)據(jù)泄露和其他復(fù)雜業(yè)務(wù)邏輯漏洞提供全面防護(hù)。 　　

API已成為現(xiàn)代應(yīng)用程序的支柱，使企業(yè)能夠無(wú)縫連接服務(wù)、優(yōu)化運(yùn)營(yíng)并大規(guī)模提供個(gè)性化體驗(yàn)。Imperva 威脅研究團(tuán)隊(duì)稱，API占所有Web流量的71%[2]。最近，該團(tuán)隊(duì)觀察到針對(duì)API的攻擊急劇增加，44%的高級(jí)機(jī)器人流量以API為目標(biāo)[3]，而針對(duì)Web應(yīng)用程序的僅有10%。這一轉(zhuǎn)變凸顯了攻擊者正越來(lái)越多地利用管理著敏感和高價(jià)值數(shù)據(jù)的API端點(diǎn)。 　　

為何BOLA是關(guān)鍵業(yè)務(wù)風(fēng)險(xiǎn) 　　

當(dāng)API未能正確驗(yàn)證用戶是否有權(quán)訪問(wèn)特定數(shù)據(jù)對(duì)象時(shí)，就會(huì)發(fā)生BOLA攻擊。這使得攻擊者能夠操縱請(qǐng)求并未經(jīng)授權(quán)訪問(wèn)敏感信息。作為OWASP十大API威脅之首，BOLA使企業(yè)面臨重大風(fēng)險(xiǎn)，包括數(shù)據(jù)泄露、合規(guī)失敗和失去客戶信任。 　　

泰雷茲應(yīng)用安全全球副總裁兼總經(jīng)理Tim Chang表示：“API安全已不再是可選項(xiàng)，而是維護(hù)業(yè)務(wù)連續(xù)性和信任的基礎(chǔ)。Imperva Application Security通過(guò)提供完全統(tǒng)一的平臺(tái)來(lái)彌合這一差距，該平臺(tái)可識(shí)別業(yè)務(wù)邏輯威脅并主動(dòng)阻止惡意會(huì)話，為API防護(hù)樹立了新的基準(zhǔn)。” 　　

為企業(yè)提供統(tǒng)一、靈活且隱私優(yōu)先的解決方案 　　

Imperva Application Security將高級(jí)威脅檢測(cè)引擎與自動(dòng)化內(nèi)聯(lián)響應(yīng)和靈活部署選項(xiàng)相結(jié)合，使安全團(tuán)隊(duì)能夠檢測(cè)和響應(yīng)BOLA等API攻擊，同時(shí)不影響開發(fā)速度或用戶體驗(yàn)。對(duì)于希望保護(hù)其API基礎(chǔ)設(shè)施的客戶，Imperva Application Security提供以下優(yōu)勢(shì)： 　　

統(tǒng)一平臺(tái)架構(gòu)：在單個(gè)控制臺(tái)中管理API發(fā)現(xiàn)、風(fēng)險(xiǎn)評(píng)估、檢測(cè)和應(yīng)對(duì)，消除云端和本地環(huán)境中的工具泛濫和操作不暢問(wèn)題。 　　

實(shí)時(shí)BOLA檢測(cè)：混合行為和基于規(guī)則的引擎分析API請(qǐng)求模式，對(duì)異常情況進(jìn)行評(píng)分并標(biāo)記端點(diǎn)以立即采取行動(dòng)。 　　

自動(dòng)響應(yīng)和修復(fù)：與Imperva Cloud WAF和WAF Gateway集成，支持多種響應(yīng)操作，包括內(nèi)聯(lián)應(yīng)對(duì)方案，例如實(shí)時(shí)自動(dòng)阻止惡意API流量。與安全自動(dòng)化工具集成，確?？焖俚氖录幣拧?　　

推進(jìn)Imperva“安全無(wú)處不在”的愿景實(shí)現(xiàn) 　　

將API檢測(cè)與響應(yīng)集成到Imperva Application Security中，是Imperva“安全無(wú)處不在”（Security Anywhere）愿景的基礎(chǔ)，該愿景為任何環(huán)境中的應(yīng)用程序和API提供可擴(kuò)展的端到端保護(hù)。這一統(tǒng)一解決方案為企業(yè)提供了針對(duì)API的自動(dòng)化威脅的全面視圖，以及保護(hù)這些API所需的工具。 　　

目前，對(duì)棄用API、未認(rèn)證API和BOLA攻擊的檢測(cè)與響應(yīng)已作為Imperva Application Security的一部分提供。 　　

注釋： 　　

[1] API Security and Protection | Safeguard All Your APIs | Imperva 　　

[2] The State of API Security in 2024 | Resource Library 　　

[3] 2025 Bad Bot Report | Resource Library 　　

關(guān)于泰雷茲 　　

作為全球先進(jìn)科技的領(lǐng)導(dǎo)者之一，泰雷茲（泛歐證券交易所代碼：HO）專注于航空、航天、網(wǎng)絡(luò)與數(shù)字技術(shù)等領(lǐng)域，為構(gòu)建一個(gè)更安全、更環(huán)保、更包容的世界開發(fā)產(chǎn)品及解決方案。集團(tuán)每年投入超過(guò)40億歐元研發(fā)資金用于關(guān)鍵創(chuàng)新領(lǐng)域，如人工智能、網(wǎng)絡(luò)安全、量子科技和云技術(shù)等。泰雷茲全球83000余名員工遍布68個(gè)國(guó)家和地區(qū)。2024年集團(tuán)銷售收入206億歐元。