Noname Security lanceert Active Testing voor API's

04-05-2022 | door: Wouter Hoeffnagel
Deel dit artikel:

Noname Security lanceert Active Testing voor API's

API-beveiligingsbedrijf Noname Security kondigt de lancering aan van zijn Active Testing-oplossing binnen het Noname API Security Platform. Active Testing is speciaal ontwikkeld om specifieke API-uitdagingen (Application Programming Interface) aan te pakken en organisaties in staat te stellen een 'shift left'-benadering te hanteren voor API-beveiligingstests.

Met Active Testing kunnen bedrijven kwetsbaarheden stoppen voordat ze de productie bereiken en sneller innoveren zonder de beveiliging in gevaar te brengen. Met Active Testing kunnen organisaties hun API-beveiligingshouding continu verfijnen en versterken. Zo dringen zij het risico op schadelijke inbreuken terug.

APIs' brengen veiligheidsrisico's met zich mee

API's zijn essentieel voor bedrijfstransformatie en vormen de kern van bedrijfsstrategieën voor groei en innovatie. Ze vormen echter ook een aanzienlijk veiligheidsrisico. Traditionele controles zoals API-gateways en webtoepassingsfirewalls (WAF's) maken API's kwetsbaar voor gerichte aanvallen of kwaadwillig misbruik, waardoor ze een belangrijke aanvalsvector voor webtoepassingen zijn. Aanvallen die datalekken veroorzaken of de prestaties in gevaar brengen, kunnen leiden tot boetes, reputatieschade en inkomstenderving.

Als gevolg hiervan zou API-beveiliging een prioriteit moeten zijn voor elke organisatie, maar tot nu toe hebben de beschikbare tools de kwetsbaarheden pre-productie niet aangepakt.

API-aanvalsoppervlak verkleinen

De Active Testing-oplossing van Noname Security verkleint het API-aanvalsoppervlak door ervoor te zorgen dat kwetsbaarheden worden gedetecteerd voordat ze de productie bereiken. Het waarschuwt ontwikkelaars onmiddellijk voor kwetsbaarheden in de bedrijfslogica, zoals de OWASP API Top 10. De tests en simulaties zijn gebaseerd op echte bedrijfslogica, niet op fuzzing. Dit zorgt voor een hoge mate van nauwkeurigheid en relevantie en minimaliseert valse positieven. Ontwikkelaars kunnen zo veilige code leveren zonder beveiligingsexperts te hoeven worden en API's met vertrouwen gebruiken.

Het verhelpen van kwetsbaarheden wordt versneld en beveiligingsknelpunten worden verwijderd door de mogelijkheid om Active Testing te integreren met bestaande workflows voor ontwikkelaars, IT en beveiligingsworkflows en servicebeheertools. Denk hierbij aan ServiceNow, Jira en Slack.

De kosten voor het verhelpen van kwetsbaarheden worden drastisch verlaagd indien zij eerder in de softwareontwikkelingslevenscyclus (SDLC) worden gedetecteerd en verholpen. Door ze aan te pakken voordat ze de productie bereiken, kan het bedrijf de uitgaven voor penetratietesten en andere testservices van derden verminderen. Verder betekent de geavanceerde testautomatiseringscapaciteiten van de oplossing dat deze kan worden geïntegreerd in bestaande CI/CD-systemen, waardoor de API-beveiliging wordt verbeterd zonder het innovatietempo te onderbreken.

Op maat gemaakte testprogramma's

Maatwerk is essentieel voor snelle en effectieve API-beveiligingstests. Met Active Testing kunnen organisaties eenvoudig testsuites maken die aansluiten bij specifieke bedrijfsdoelstellingen, met op rollen gebaseerde toegangscontroles om ervoor te zorgen dat alleen geautoriseerd personeel toegang heeft tot API's om te testen. Met Active Testing kunnen API's ook worden gegroepeerd op business line, applicaties, teams of andere parameters, zodat ontwikkelaars hun ontwikkelingsproces kunnen afstemmen op de zakelijke behoeften. Active Testing kan in elke omgeving worden uitgevoerd, van test- en laboratoriumomgevingen tot enscenering.

Active Testing biedt een brede dekking, met de mogelijkheid om automatisch meer dan 100 dynamische tests uit te voeren die kwaadaardig verkeer simuleren. Testgedrag kan worden aangepast en de ernst ervan kan worden aangepast om de live-omgeving van de organisatie en reële bedreigingen nauwkeurig te repliceren. Ontwikkelaars kunnen ook Swagger-bestanden vergelijken om inzicht te krijgen in de conformiteit met de oorspronkelijke specificatie en hoe de API is geëvolueerd.

Snelle time-to-value

De oplossing is snel te implementeren en levert een snelle time-to-value op. Dit is een cruciaal voordeel in vergelijking met de gemiddelde tijd die nodig is om runtimebeveiligingen en herstelintegraties voor de productieomgeving te testen en implementeren. Het kan maanden duren om deze effectief te configureren, terwijl succesvol misbruik van een kwetsbaarheid slechts enkele seconden duurt. Het verwijderen van kwetsbaarheden voordat ze de productie bereiken, elimineert dit risico en verbetert de integriteit van de codebasis van een organisatie.

"Bedrijven moeten de kracht van API's kunnen benutten zonder concessies te doen aan de ontwikkelingssnelheid of beveiliging", zegt Shay Levi, medeoprichter en CTO bij Noname Security. “Onze Active Testing-oplossing maakt dynamische API-beveiligingstests mogelijk binnen bestaande ontwikkelingspijplijnen, waardoor problemen vroeg in de levenscyclus van softwareontwikkeling worden gedetecteerd, waar ze gemakkelijker en veel goedkoper te repareren zijn. Het is in hoge mate aanpasbaar en geautomatiseerd, waarbij wordt getest met de nauwkeurigheid en intensiteit die het bedrijf vereist. Dit zonder ontwikkelaars te belasten met extra stappen of hen te verplichten beveiligingsexperts te worden."

“In tegenstelling tot traditionele tools begrijpt onze oplossing de bedrijfslogica, waardoor het mogelijk wordt om speciaal gebouwde tests te ontwikkelen die zeer nauwkeurige en relevante resultaten opleveren. Active Testing is revolutionair voor organisaties die naar links willen schuiven met API-beveiligingstests en schadelijke inbreuken willen voorkomen.”

De Active Testing-oplossing van Noname is beschikbaar als SaaS of on-premise.

Terug naar nieuws overzicht
Security