Imperva Application Security整合API侦测与回应功能　树立API安全新基准

Thales发布，Imperva Application Security平台新增侦测与回应功能，以防御业务逻辑攻击，例如OWASP十大API安全风险中的首要威胁，物件层级授权中断（BOLA）。透过将实时侦测与自动化防御措施相结合，全面保护企业免受风险API、BOLA攻击、未认证API和停用的API的威胁。

Imperva Application Security平台可在云端和本地环境中，针对未经授权的数据外泄和其他复杂业务逻辑漏洞提供全面防护。

API已成为现代应用程序的支柱，它使企业能够顺畅连接服务、实现营运最佳化并大规模提供个人化体验。根据Imperva Threat Research研究发现，API占所有Web流量的71%。

最近，该团队观察到针对API的攻击急剧增加，44%的进阶机器人流量以API为目标，而针对Web应用程序的仅有10%。这项转变凸显了攻击者愈来愈常利用管理机敏和高价值数据的API端点进行攻击。

当API未能正确验证使用者是否有权存取特定数据物件时，就会发生BOLA攻击。这使得攻击者能够操纵请求并未经授权存取机敏信息。BOLA是OWASP十大API威胁之首，它使企业面临重大风险，包括数据外泄、法规遵循失败和失去客户信任。

Thales应用程序安全全球副总裁兼总经理Tim Chang表示，API安全已不再是选项，而是维护业务持续运作和信任的基础。Imperva Application Security透过提供完全统一的平台来弥合这一差距，该平台可识别业务逻辑威胁并主动阻止恶意连线，为API防护树立了新的基准。

Imperva Application Security将先进进阶威胁侦测引擎与自动化内联回应和灵活部署选项整合在平台上，使安全团队能够侦测和回应BOLA等API攻击，同时不影响开发速度或使用者体验。

将API侦测与回应整合到Imperva Application Security中，是Imperva「全方位安全」愿景的基础，该愿景为任何环境中的应用程序和API提供可扩充的点对点保护。该统一解决方案为企业提供了针对API的自动化威胁的全貌，以及保护这些API所需的工具。

目前，对停用API、未认证API和BOLA攻击的侦测与回应已成为Imperva Application Security的一部分。