Salt Security推出Salt Surface暴露隐藏API风险

新型评估工具能够发现并编录组织的完整API资产清单，包括那些导致数据暴露的影子API、僵尸API和未受保护的API。

API安全公司Salt Security宣布推出Salt Surface，这是其现有API保护平台的新增功能。Salt Surface为组织提供全面的API攻击面评估，以攻击者视角审视对外API，在漏洞被利用之前发现具体可操作的风险。

主动侦察技术架构

Salt Surface是一款主动侦察工具，精心模拟高级API攻击者使用的战术技术。其主要目的是帮助组织主动识别、验证和理解暴露API端点相关风险。与仅依赖观察现有API流量的传统被动发现方法不同，Salt Surface采用主动发现技术，能够发现隐藏、未监控和被遗忘的API，从而对组织当前外部攻击面进行高精度评估。

该技术由API安全研究领域公认领导者Salt Labs的持续专业知识和前沿研究提供支持，确保Salt Surface的发现技术始终与攻击者的最新战术保持同步。相比竞争工具往往提供大量无关或低上下文数据，Salt Surface专注于提供相关且可操作的情报。

多维风险发现方法

Salt Surface通过多维度方法发现风险并减少组织的API攻击面：

漏洞和错误配置检测：扫描能高效识别与已发现API相关的关键安全风险，检测常见和严重错误配置，标注潜在漏洞，并发现敏感数据暴露实例。

全面API发现：主动研究组织所有面向互联网的API资产，彻底检查域和子域以精确定位每个潜在API端点。此过程使团队能够发现仅查看现有流量的方法可能忽略的影子端点和僵尸端点。

主动态势治理：自动根据专门为外部发现资产构建的强健态势治理策略评估发现结果，无需部署任何日志或流量传感器即可即时洞察安全漏洞和策略违规。

可操作评估报告：所有发现、风险和策略违规都被编译成一份统一的证据型评估报告。该报告设计为高度可操作，为安全团队提供清晰、优先排序的信息以有效解决漏洞。

高管观点

Salt Security首席执行官兼联合创始人Roey Eliyahu表示：“在API安全领域，主动出击不再是可选项，而是关键任务。Salt Surface为组织提供了这种主动优势。它提供了所需的可操作上下文，使组织能够通过攻击者的视角查看其API，并在安全漏洞被发现和利用之前进行修复。”