隨著數位轉型加速與生成式AI應用普及,企業應用程式面臨前所未有的複雜威脅場景。根據Thales旗下的Imperva Threat Research觀察,API已占據全球Web流量的71%,而在所有進階機器人流量中,有44%是針對API發動攻擊,針對傳統Web應用程式的反而只有10%。
這種流量與風險結構的劇烈變化,揭示了應用安全市場正進入「API為核心」的新世代,也讓整合式Application Security(應用程式安全)平台成為現代企業安全策略的關鍵基礎。
Thales應用程式安全全球副總裁兼總經理Tim Chang指出,API攻擊型態的複雜性日益提高,特別是針對業務邏輯的破壞行為,例如OWASP列為API安全十大風險之首的BOLA(物件層級授權繞過)攻擊,正成為實際事件中最難防範也最容易被忽略的隱性威脅。Imperva最新版本的Application Security平台,正是針對此一變局所設計,其導入全新API偵測與回應功能,結合即時監控、風險評估與自動化回應機制,建構從API探索、異常行為辨識、攻擊防禦到事件通報的一體化流程。
Tim Chang進一步說明,Imperva的整體解決方案以「統一平台、靈活部署、隱私優先」為核心設計理念。企業可在單一控制台上同時管理雲端與本地部署環境中的API風險,不僅降低整合成本,也提高事件處理效率。平台導入的混合行為分析引擎,能即時偵測出BOLA等業務邏輯異常,並與Imperva Cloud WAF與WAF Gateway整合,在毫秒等級內即時阻斷惡意流量。
Thales應用程式安全全球副總裁兼總經理Tim Chang強調,API安全已成企業營運信任基礎,Imperva採以統一平台即時偵測並自動化防禦「物件層級授權繞過」等攻擊,為AI時代樹立新防護基準。
針對AI時代的新型挑戰,Imperva將推出AI Firewall與Elastic WAF。AI Firewall主要因應Prompt Injection與機敏資料識別問題,能針對AI導入場景中的資料流量進行即時分析與防護;Elastic WAF則解決過往WAF產品綁定特定部署架構的侷限,允許企業將Web與API防護功能容器化,靈活部署於本地端或雲端,並可透過統一控制台集中管理多個節點與配置,滿足企業對於應變速度與彈性維運的雙重需求。
面對來自生成式AI與代理型AI所衍生的大規模自動化存取壓力,Imperva提出「三階段防護模型」,藉由辨識AI機器人的DNA特徵、活動軌跡與來源指紋,建立超過2,000種機器人行為資料庫,進行人機行為鑑別、異常流量監控與動態阻擋策略部署。未來將擴展多語言、跨模態的AI安全機制,推進「Security Anywhere」的戰略願景,實現全方位安全守護。