Компания "Вебмониторэкс" анонсировала 4 продукта для защиты API

Российская компания "Вебмониторэкс" представила обновление платформы Webmonitorx WAF/WAAP, а также анонсировала сразу 4 новых продукта для защиты API: "Тестирование API", "Защита API", "Структура API" и "Сканер".

Новые продукты призваны изменить подход к управлению и защите API, открыв новые возможности для клиентов компании.

Вебмониторэкс "Тестирование API"

Это инструмент для поиска ошибок, уязвимостей, включая 0-day уязвимости в веб-приложениях и API на основе OpenAPI-спецификации (OAS).

Важные функции продукта:

• проверка API по OAS, указанной вручную или полученной из продукта "Структура API";
• нативная интеграция в цикл разработки API, в CI-/CD-пайплайне;
• фаззинг эндпоинтов и параметров API для покрытия того, что не описанов в OAS;
• поиск инъекций, покрытие OWASP TOP 10 & OWASP API TOP 10.

Коммерческий релиз продукта "Тестирование API" (API DAST) запланирован на конец апреля 2024 г., но уже сейчас он доступен для тестирования и покупки.

Вебмониторэкс "Защита API"

"Защита API" — это инструмент для фиксации OAS и валидации запросов к API в рамках позитивной модели. Он может быть использован как локальный компонент без подключения к облаку, так и облачное решение с возможностью интеграции с облачным ЛК.

Основная функциональность продукта "Защита API":

• усиление защиты REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0. (позитивная модель);
• предотвращение утечек данных путем проверки ответов приложения на соответствие заявленной спецификации;
• валидация JWT-токенов в OAuth 2.0 аутентификации;
• обнаружение Shadow API (теневая версия API может содержать устаревшие, небезопасные, незащищенные, развернутые для отладки методы и эндпоинты, и может стать причиной утечек данных и компрометации системы);
• логирование запросов ко всем эндпоинтам API, которых нет в спецификации, в случае, если приложение отвечает кодом 2xx или 5xx;
• блокировка запросов с утекшими токенами, куками и пр.

Файрвол "Защита API" уже доступен для заказчиков.

Вебмониторэкс "Структура API"

"Структура API" (API Discovery) – это проверенное решение, которое ранее поставлялось как компонент Вебмониторэкс WAF, но теперь стало отдельным продуктом.

Его использование позволит:

• ранжировать эндпоиты по уровню риска;
• показывать уязвимости, ПДн;
• показывать точки аутентификации;
• показывать потенциальные точки для BOLA;
• выгружать спецификации или их фрагменты;
• обеспечивать навигацию по спецификации, по именам параметров и типам передаваемых данных, типам содержимого;
• проводить Virtual Patching (в интеграции с WAF).

Продукт "Структура API" сохранил глубокую интеграцию с WAF и может поставляться и самостоятельно, и как компонент платформы в составе Вебмониторэкс WAF.

Вебмониторэкс "Сканер"

"Сканер API" проводит инвентаризацию периметра, поиск уязвимостей и предоставляет удобный интерфейс для работы с найденными уязвимостями. Это классический сканер в формате EASM (External Attack Surface Management), заточенный на работу с Web.

Из интересной функциональности продукта "Cканер API" стоит отметить:

• управление расписанием сканирования;
• Shodan-like поиск;
• единый workflow обработки уязвимостей;
• фокусировка на веб и интеграция с WAF;
• нативное управление через API.

Коммерческий релиз Вебмониторэкс "Сканер" будет доступен для тестирования в IV квартале 2024 г.

"Мы гордимся тем, что наша платформа Вебмониторэкс продолжает развиваться и предлагать инновационные решения для наших клиентов," - отмечает Лев Палей, директор по информационной безопасности "Вебмониторэкс" – "Мы уверены, что новые продукты по управлению и защите API помогут компаниям повысить защищенность и эффективность своих веб-приложений, а при необходимости безопасно реализовать концепцию API First".

Подробности можно найти в официальном телеграм-канале компании "Вебмониторэкс": https://t.me/WMXWAS