OWASP API 2023ダッシュボード¶

OWASP API Security Top 10 はAPIのセキュリティリスク評価におけるゴールドスタンダードです。こうしたAPI脅威に対するAPIのセキュリティ状況を評価するため、Wallarmは脅威緩和のための明確な可視化と指標を提供するダッシュボードを提供します。

OWASP API Security Top 10 2023 をカバーし、このダッシュボードは全体のセキュリティ状態を評価し、検出された問題に対処するためのセキュリティ制御を積極的に実装することを可能にします。

脅威評価¶

Wallarmは適用されたセキュリティ制御と検出された脆弱性に基づいて各API脅威のリスクを評価します:

赤 - セキュリティ制御が適用されていない場合、もしくはAPIに高リスクの脆弱性が存在する場合です。
黄 - セキュリティ制御が部分的にしか適用されていない場合、もしくはAPIに中リスクまたは低リスクの脆弱性が存在する場合です。
緑はAPIが保護され、公開された脆弱性が存在しないことを示します。

OWASP API 2023向けWallarmセキュリティ制御¶

Wallarmセキュリティプラットフォームは、以下のセキュリティ制御によりOWASP API Security Top 10 2023に対して完全な保護を提供します:

OWASP API Top 10脅威2023	Wallarmセキュリティ制御
API1:2023 Broken Object Level Authorization	Automatic BOLA mitigation は脆弱なエンドポイントを保護するために自動的にトリガーを作成します
API2:2023 Broken Authentication	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します Brute force trigger は認証エンドポイントを狙うブルートフォース攻撃を軽減します
API3:2023 Broken Object Property Level Authorization	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します
API4:2023 Unrestricted Resource Consumption	Brute force trigger はDoSを引き起こし、APIが応答しなくなるまたは利用できなくなることがあるブルートフォース攻撃を軽減します
API5:2023 Broken Function Level Authorization	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します Forced browsing trigger は本脅威の悪用手段でもある強制ブラウジング試行を軽減します
API6:2023 Unrestricted Access to Sensitive Business Flows	API Abuse Prevention は悪意あるボットの行動を軽減します
API7:2023 Server Side Request Forgery	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します
API8:2023 Security Misconfiguration	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します Wallarm node self-checkはノードバージョンとセキュリティポリシーを最新の状態に保ちます (詳細は問題の対処方法を参照してください)
API9:2023 Improper Inventory Management	API Discovery は実際のトラフィックに基づいて実際のAPI在庫を自動的に検出します
API10:2023 Unsafe Consumption of APIs	Vulnerability Scanner は対応する種類のアクティブな脆弱性を検出します