OWASP란? OWASP Top 10 취약점 및 위험 소개

OWASP는 소프트웨어의 보안을 개선하기 위한 업무를 수행하는 비영리 재단입니다.

OWASP(Open Worldwide Application Security Project, OWASP)는 조직이 신뢰할 수 있는 안전한 애플리케이션을 위한 소프트웨어를 설계, 개발, 인수, 운영, 유지 관리할 수 있도록 지원하는 개방형 커뮤니티입니다. OWASP 프로그램에는 커뮤니티 주도 오픈 소스 소프트웨어 프로젝트와 지역 및 글로벌 컨퍼런스가 포함되며, 전 세계 수백 개의 지부와 수만 명의 회원이 참여합니다.

OWASP의 중요성

OWASP는 웹 애플리케이션 보안 위험에 대한 인식을 제고하는 데 중요한 역할을 하며, 웹 애플리케이션 보안의 증가하는 당면 과제를 해결하는 데 유용한 리소스, 도구, 문서, 모범 사례를 제공합니다. 개발자, 보안 전문가, 조직은 OWASP를 통해 잠재적인 위협을 이해하고 보안 모범 사례를 도입할 수 있습니다.

OWASP는 가장 중요한 10가지 웹 애플리케이션 보안 위험과 이를 완화하기 위한 효과적인 프로세스, 절차, 제어 목록을 관리합니다. 또한 API 개발 및 유지 관리 담당자들을 교육하고 API 보안 약점에 대한 인식을 높이기 위해 OWASP Top 10 API 보안 취약점 목록도 제공합니다.

OWASP 커뮤니티는 개인과 조직이 커뮤니티의 프로젝트와 리소스에 기여하도록 장려합니다. 이러한 협업과 설문조사에 기반한 접근 방식을 통해 커뮤니티는 회원들의 집단 지성과 전문성을 활용하여 포괄적인 최신 정보를 제공합니다.

보안 솔루션을 구현할 때 고려해야 할 앱과 API 모두에 공통적인 보안 위험이 있으며, 그 예는 다음과 같습니다.

  • 취약한 인증 / 권한 제어
  • 구성 오류
  • 비즈니스 논리 악용(크리덴셜 스터핑, 계정 탈취)
  • 서버 측 요청 위조(SSRF)

 

OWASP Top 10 애플리케이션 보안 위험

OWASP Top 10 목록에 특정 위험이 포함되어 있다고 해서 모든 웹 애플리케이션에서 해당 위험의 확산이나 심각성이 있음을 의미하지는 않으며, Top 10 목록은 특정 순서 또는 우선 순위에 따라 순위가 매겨지지 않습니다.

OWASP Top 10 목록에 특정 위험이 포함되어 있다고 해서 모든 웹 애플리케이션에서 해당 위험의 확산이나 심각성이 있음을 의미하지는 않으며, Top 10 목록은 특정 순서 또는 우선 순위에 따라 순위가 매겨지지 않습니다.

2021년 OWASP Top 10 웹 애플리케이션 보안 위험은 다음과 같습니다.

    취약한 액세스 제어. 이 취약점은 액세스 제어 및 권한 부여가 불충분하게 적용되어 공격자가 권한이 없는 기능이나 데이터에 액세스할 수 있는 경우 발생합니다. 애플리케이션이 내부 개체에 대한 사용자 입력의 유효성을 검증하거나 권한을 부여하지 못할 때 발생할 수 있는 안전하지 않은 직접 개체 참조(IDOR) 때문일 수 있습니다. 또한 애플리케이션이 초기 인증 또는 승인 단계에서만 액세스 제어를 검증하고 애플리케이션의 기능 또는 작업 중에는 이러한 제어를 일관되게 적용하지 않는 경우 기능 수준 액세스 제어가 이루어지지 않아 발생할 수 있습니다. 웹 애플리케이션 방화벽(WAF)을 통해 액세스 제어를 모니터링하고 적용하여 민감한 개체 또는 리소스에 대한 무단 액세스를 방지함으로써 이러한 공격을 차단할 수 있습니다.
  1. 인젝션 공격. 인젝션 결함은 공격자가 신뢰할 수 없거나 적대적인 데이터를 명령 또는 쿼리 언어에 삽입하거나 애플리케이션이 사용자가 제공한 데이터에 대해 유효성 검사, 필터링 또는 검사를 실시하지 않아 의도하지 않게 악성 명령이 실행될 때 발생합니다. 이 공격의 범주에는 NoSQL, OS 명령, LDAP, SQL 인젝션 공격이 포함되며 다른 사용자가 보는 웹 페이지에 JavaScript와 같은 악의적인 클라이언트 측 스크립트를 주입하는 크로스 사이트 스크립팅(XSS)도 포함됩니다. 이로 인해 로그인 자격 증명, 개인정보 또는 세션 쿠키와 같은 민감한 정보가 도용될 수 있습니다. WAF는 반영(비영구), 저장(영구), 문서 객체 모듈(DOM-) 기반 XSS 등의 수신되는 요청을 검사하고 필터링하여 악성 코드 주입 시도를 탐지하고 차단하여 애플리케이션에 도달하지 못하도록 합니다.

  2. 암호화 오류. 이 위험은 전송 중 및 저장 중인 민감한 데이터를 제대로 보호하지 못하기 때문에 발생합니다. 암호화 오류가 발생하면 데이터 보안 침해, 기밀 정보에 대한 무단 액세스, EU 일반 데이터 보호 규정(GDPR) 등의 데이터 개인정보 보호규정 및 PCI 데이터 보안 표준(PCI DSS) 등의 금융 표준을 위반할 수 있습니다. 이러한 오류는 안전하지 않은 암호화 저장, 일반 텍스트로 데이터 저장, 안전하지 않은 키 관리로 인해 발생할 수 있습니다. 이 위험은 또한 취약한 키 또는 난수 생성이나 암호화 프로토콜의 결함으로 인한 정보 유출 때문에 발생할 수 있습니다.
  3. 보안 구성 오류. 웹 애플리케이션 프레임워크, 플랫폼, 서버 또는 보안 제어의 보안을 강화하지 않으면 무단 액세스, 민감한 정보 노출 또는 기타 보안 취약점이 발생할 수 있습니다. 보안 설정 오류로 인한 위험은 클라우드 서비스에 대한 권한이 잘못 구성되거나 사용하지 않는 포트, 서비스, 계정 또는 권한과 같은 불필요한 기능을 설치 또는 활성화하는 경우에도 발생할 수 있습니다. 주요 클라우드 제공업체는 다양한 기본 보안 태세를 가지고 있으며 아키텍처가 멀티 클라우드 패브릭 전체에 걸쳐 점점 더 분산되고 있기 때문에 웹 앱과 API에 대한 잘못된 구성 오류는 큰 위험이 됩니다.
  4. 취약하고 오래된 구성 요소. 오래되거나, 패치가 적용되지 않았거나, 취약한 라이브러리, 프레임워크, 플러그인과 같은 구성 요소를 사용하면 애플리케이션이 알려진 보안 결함에 노출되어 공격 위험이 증가할 수 있습니다. 이러한 위험은 운영 체제(OS), 웹/애플리케이션 서버, 데이터베이스 관리 시스템(DBMS), 애플리케이션, API, 모든 구성 요소, 런타임 환경, 라이브러리 등 지원되지 않거나 오래된 소프트웨어로 인해 발생할 수 있습니다. 이러한 위협은 조직이 시스템의 기본 플랫폼, 프레임워크, 종속성을 수정하거나 업그레이드하기 위한 시기적절한 위험 기반 조치를 취하지 않는 경우 특히 위험하며, 시스템이 알려진 위험에 며칠 또는 몇 주 동안 불필요하게 노출되도록 방치할 때 위험합니다. 복잡합 소프트웨어 공급망과 CI/CD 파이프라인을 통한 자동화는 취약한 소프트웨어를 IT스택에 도입될 위험을 증가시킵니다. WAF는 이러한 취약점 악용을 차단하는 데 중요한 역할을 할 수 있습니다.
  5. 식별 및 인증 실패. 인증, ID, 세션 관리의 취약성으로 인해 공격자는 사용자 계정, 비밀번호, 세션 토큰을 손상시키거나 안전하지 않은 세션 처리를 악용할 수 있습니다. 이러한 영역에 결함이 있으면크리덴셜 스터핑과 같은 자동화된 공격이 허용될 수 있습니다. 많은 사람들이 비밀번호를 재사용하거나 기본 비밀번호, 약한 비밀번호 또는 잘 알려진 비밀번호를 사용하기 때문에 비밀번호 관련 취약성은 이러한 위험의 가장 일반적인 원인이 됩니다. 세션 관리 문제는 특히 로그아웃하거나 비활성 기간 동안 사용자 세션 또는 인증 토큰이 제대로 무효화되지 않은 경우 인증 관련 공격으로 이어질 수 있습니다. OWASP Top 10, API 보안 Top 10, 자동화된 위협 프로젝트에 자세히 설명된 바와 같이 인증 제어를 우회하는 공격은 웹 앱과 API 모두에서 증가하고 있는 위험입니다.
  6. 소프트웨어 및 데이터 무결성 문제. 이러한 취약점은 데이터 및 소프트웨어의 무결성 위반으로부터 보호하지 못하는 애플리케이션 코드 및 인프라로 인해 발생합니다. 이는 애플리케이션이 신뢰할 수 없는 소스, 리포지토리, CDN의 플러그인, 라이브러리 또는 모듈에 의존할 때 발생할 수 있습니다. 검증되지 않은 소프트웨어 업데이트, 민감한 데이터 수정,CI/CD 파이프라인 변경 시에도 발생할 수 있습니다. 공격자는 잠재적으로 자체 업데이트를 업로드하여 모든 설치에 배포하고 실행할 수 있습니다. 애플리케이션이 신뢰할 수 없는 직렬화된 데이터를 가져와 유효성을 검증하지 않고 소비하는 안전하지 않은 역직렬화(insecure deserialization)도 이 위험 카테고리에 속하며, 이로 인해 원격 코드 실행(RCE) 및 권한 상승과 같은 공격이 발생할 수 있습니다.
  7. 식별 및 인증 실패. 인증, ID, 세션 관리의 취약성으로 인해 공격자는 사용자 계정, 비밀번호, 세션 토큰을 손상시키거나 안전하지 않은 세션 처리를 악용할 수 있습니다. 이러한 영역에 결함이 있으면크리덴셜 스터핑과 같은 자동화된 공격이 허용될 수 있습니다. 많은 사람들이 비밀번호를 재사용하거나 기본 비밀번호, 약한 비밀번호 또는 잘 알려진 비밀번호를 사용하기 때문에 비밀번호 관련 취약성은 이러한 위험의 가장 일반적인 원인이 됩니다. 세션 관리 문제는 특히 로그아웃하거나 비활성 기간 동안 사용자 세션 또는 인증 토큰이 제대로 무효화되지 않은 경우 인증 관련 공격으로 이어질 수 있습니다. OWASP Top 10, API 보안 Top 10, 자동화된 위협 프로젝트에 자세히 설명된 바와 같이 인증 제어를 우회하는 공격은 웹 앱과 API 모두에서 증가하고 있는 위험입니다.
  8. 서버 측 요청 위조(SSRF). 이러한 취약점은 애플리케이션이 원격 리소스에서 데이터를 가져오기 전에 사용자가 입력한 URL의 유효성을 검증하거나 검사하지 않을 때 발생합니다. 공격자는 이러한 결함을 사용하여 방화벽 또는 기타 방어 조치로 보호되는 경우에도 애플리케이션이 악의적인 웹 대상에 액세스하도록 할 수 있습니다. 또한 표적이 되는 리소스가 클라우드 메타데이터 서비스 또는 백엔드 API 등의 다른 시스템과 신뢰 관계를 맺고 있는 경우에도 발생할 수 있으며, 공격자는 이를 통해 신뢰할 수 있는 서비스에 대한 요청을 수행하고 민감한 정보를 추출하거나 승인되지 않은 작업을 수행할 수 있습니다. SSRF의 위험을 최소화하기 위해 최소 권한 액세스를 위한 시스템을 설계하고 WAF를 사용하여 보안 정책에 인터넷 식별자(URI) 매개 변수를 명시적으로 정의하고 액세스할 수 있는 호스트를 허용 및 차단해야 합니다.
  9. 2021 OWASP Top 10은 이전 2017 OWASP Top 10의 새로운 카테고리 및 명칭 변경 사항을 반영합니다. 이러한 변경 사항에는 2017 위험 위협 XML 외부 엔터티 (XXE)를 2021 보안 구성 오류(Security Misconfiguration) 카테고리에 통합하고 2017 크로스 사이트 스크립팅(XSS)을 2021 인젝션 카테고리에 추가하는 것이 포함됩니다. 2017 위험인 안전하지 않은 역직렬화(Insecure Deserialization)는 이제 2021 소프트웨어 및 데이터 무결성 문제(Software and Data Integrity Failures) 카테고리에 속합니다.
  10. 서버 측 요청 위조(SSRF). 이러한 취약점은 애플리케이션이 원격 리소스에서 데이터를 가져오기 전에 사용자가 입력한 URL의 유효성을 검증하거나 검사하지 않을 때 발생합니다. 공격자는 이러한 결함을 사용하여 방화벽 또는 기타 방어 조치로 보호되는 경우에도 애플리케이션이 악의적인 웹 대상에 액세스하도록 할 수 있습니다. 또한 표적이 되는 리소스가 클라우드 메타데이터 서비스 또는 백엔드 API 등의 다른 시스템과 신뢰 관계를 맺고 있는 경우에도 발생할 수 있으며, 공격자는 이를 통해 신뢰할 수 있는 서비스에 대한 요청을 수행하고 민감한 정보를 추출하거나 승인되지 않은 작업을 수행할 수 있습니다. SSRF의 위험을 최소화하기 위해 최소 권한 액세스를 위한 시스템을 설계하고 WAF를 사용하여 보안 정책에 인터넷 식별자(URI) 매개 변수를 명시적으로 정의하고 액세스할 수 있는 호스트를 허용 및 차단해야 합니다.

2021 OWASP Top 10은 이전 2017 OWASP Top 10의 새로운 카테고리 및 명칭 변경 사항을 반영합니다. 이러한 변경 사항에는 2017 위험 위협 XML 외부 엔터티 (XXE)를 2021 보안 구성 오류(Security Misconfiguration) 카테고리에 통합하고 2017 크로스 사이트 스크립팅(XSS)을 2021 인젝션 카테고리에 추가하는 것이 포함됩니다. 2017 위험인 안전하지 않은 역직렬화(Insecure Deserialization)는 이제 2021 소프트웨어 및 데이터 무결성 문제(Software and Data Integrity Failures) 카테고리에 속합니다.

기타 OWASP 간행물

OWASP는 현재 OWASP 및 애플리케이션 보안 전반에 전략적 가치를 제공하는 다음과 같은 16개의 OWASP Flagship 프로젝트를 포함하여 293개의 프로젝트를 후원하고 있습니다.

  1. OWASP Amass Project는 정보 보안 전문가가 오픈 소스 정보 수집 및 적극적인 정찰 기법을 사용하여 공격 표면의 네트워크 매핑을 수행하고 외부 자산 검색을 수행하는 데 도움이 되는 도구를 개발했습니다. 
  2. OWASP Application Security Verification Standard Project(ASVS)는 웹 애플리케이션 기술 보안 제어를 테스트하기 위한 기반을 제공하고 개발자에게 보안 개발을 위한 요구 사항 목록을 제공합니다.
  3. OWASP 치트 시트 시리즈(Cheat Sheet Series)는 애플리케이션 개발자와 방어자를 위해 간단하게 따라 할 수 있는 모범 사례 가이드 세트를 제공하기 위해 만들어졌습니다. 많은 개발자와 애플리케이션에 실용적이지 않은 상세한 모범 사례에 초점을 맞추기보다는 대다수의 개발자가 실제로 구현할 수 있는 모범 사례를 제공하기 위한 것입니다.
  4. OWASP CycloneDX는 사이버 위험 감소를 위한 고급 공급망 기능을 제공하는 풀스택 BOM (Bill of Materials) 표준입니다.
  5. OWASP Defectdojo는 템플릿 작성, 보고서 생성, 메트릭, 기본 셀프 서비스 도구를 제공하여 테스트 프로세스를 간소화하는 오픈 소스 취약점 관리 도구입니다.
  6. OWASP Dependency-Check는 프로젝트의 종속성 내에 포함된 대중에게 공개된 취약점을 탐지하려고 시도하는 소프트웨어 구성 분석(SCA) 도구입니다. 해당 종속성에 대한 공통 플랫폼 열거(CPE) 식별자가 있는지 여부를 결정함으로써 이를 수행합니다. CPE 식별자가 발견되면 관련 공통 취약점 및 노출(CVE) 항목에 연결되는 보고서를 생성합니다.
  7. OWASP Dependency-Track은 조직이 소프트웨어 공급망의 위험을 식별하고 최소화할 수 있는 지능형 구성 요소 분석 플랫폼입니다.
  8. OWASP Juice Shop은 보안 교육, 인식 데모, 플래그 캡처(capture-the-flag) 대회, 보안 도구 테스트에 사용되는 가장 현대적이고 정교한 안전하지 않은 웹 애플리케이션입니다. Juice Shop은 실제 애플리케이션에서 발견되는 다른 많은 보안 결함과 함께 OWASP Top 10의 취약점 전체를 포함합니다.
  9. OWASP Mobile Application Security는 모바일 앱에 대한 보안 표준을 제공하는 OWASP의 주력 프로젝트입니다. 또한 모바일 앱 보안 테스트 중에 사용되는 프로세스, 기술 및 도구를 다루는 포괄적인 테스트 가이드와 테스터가 일관되고 완전한 결과를 제공할 수 있는 포괄적인 테스트 사례 세트도 포함되어 있습니다.
  10. OWASP ModSecurity Core Rule Set는 ModSecurity 또는 호환되는 웹 애플리케이션 방화벽과 함께 사용하기 위한 일반적인 공격 탐지 규칙 세트입니다. CRS는 오탐을 최소하하고 OWASP Top 10을 포함한 다양한 공격으로부터 웹 애플리케이션을 보호하는 것을 목표로 합니다.
  11. OWASP Project Offensive Web Testing Framework(OWTF)는 웹 애플리케이션의 보안을 평가하고 테스트하도록 설계된 오픈 소스 웹 애플리케이션 침투 테스트 프레임워크입니다. OWTF의 주요 목표는 보안 전문가와 침투 테스트 담당자가 웹 애플리케이션의 취약점을 평가하고 테스트하는 프로세스를 자동화하여 보안 취약점을 보다 효과적으로 식별하고 해결할 수 있도록 지원하는 것입니다.
  12. OWASP Software Assurance Maturity Model(SAMM)은 안전한 개발 수명 주기 모델링을 분석하고 개선하는 효과적이고 측정 가능한 방법을 제공합니다. SAMM은 전체 소프트웨어 수명 주기를 지원하며 기술 및 프로세스에 구애받지 않습니다.
  13. OWASP Security Knowledge Framework는 여러 프로그래밍 언어로 보안 코딩 원리를 설명하고 개발자가 설계상 안전한 애플리케이션을 빌드할 수 있도록 돕는 웹 애플리케이션입니다.
  14. OWASP Security Shepherd는 다양한 역량을 지닌 인력을 육성하고 보안 인식을 제고하도록 설계된 웹 및 모바일 애플리케이션 보안 교육 플랫폼입니다. 이 프로젝트의 목적은 AppSec 초보자 또는 숙련된 엔지니어를 확보하고 침투 테스트 기술을 보안 전문가 수준으로 강화하는 것입니다.
  15. OWASP Web Security Testing Guide는 애플리케이션 및 웹 서비스 보안 테스트에 대한 종합 가이드입니다. 전 세계 침투 테스트 담당자와 조직이 사용하는 모범 사례의 프레임워크를 제공합니다.
  16. OWASP ZAP은 보안 전문가와 개발자가 개발 및 테스트 단계에서 웹 애플리케이션의 보안 취약점을 식별하고 위험을 최소화할 수 있도록 설계된 웹 애플리케이션 보안 테스트 도구입니다.

통합 보안 제어 사례

OWASP는 웹 애플리케이션 보안 위험에 대한 인식을 높이고 개발자, 보안 전문가, 조직의 모범 사례를 옹호함으로써 소프트웨어 보안을 개선하기 위한 지속적인 노력에서 중요한 역할을 합니다. OWASP는 커뮤니티 중심 프로젝트로서 전문가와 애호가들이 모여 웹 애플리케이션 보안 강화를 위해 협력하여 안전한 코딩 관행과 안전한 개발 방법론을 촉진하는 보안을 중시하는 문화를 조성하는 데 도움을 줍니다.

또한 OWASP는 OWASP Top 10, OWASP API Security Top 10, Automated Threats to Web Applications Project를 포함하여 조직이 보안 태세를 강화할 수 있도록 지원하는 다양한 무료 오픈 소스 도구, 문서, 리소스를 제공합니다. 기타 OWASP 이니셔티브는 다음과 같습니다.

  • OWASP OWASP Bug Logging Tool(BLT)은 책임 있는 공개를 독려하고 안전한 온라인 환경을 조성하여 인터넷 사용자가 온라인에서 발견하는 모든 문제를 보고하고 인터넷 보안을 개선하는 데 도움을 줄 수 있도록 합니다.
  • OWASP CSRFGuard는 사이트 간 요청 위조(CSRF) 공격으로부터 웹 애플리케이션을 보호하는 라이브러리입니다.
  • 특정 애플리케이션 보안 주제에 대한 유용한 정보를 밀도 있게 제공하는 치트 시트 시리즈를 포함한 GitHub의 여러 저장소로 구성됩니다.
  • OWASP Top 10 Client-Side Security Risks는 브라우저 측 애플리케이션의 공통적인 취약점 목록입니다.
  • OWASP Cloud-Native Application Security Top 10은 클라우드 네이티브 애플리케이션의 가장 두드러진 보안 위험, 관련 과제, 이를 극복하는 방법에 대한 정보를 제공하는 프로젝트로, 아직 개발 중에 있습니다.

F5는 OWASP Foundation과 소프트웨어 보안을 강화하고 웹 애플리케이션 보안 위험 및 취약성에 대한 인식을 제고하기 위한 재단의 노력을 지원합니다. F5 WAF(웹방화벽) 솔루션OWASP Top 10에 속하는 다양한 위험을 차단하고 완화합니다.

F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스 및 머신러닝 기반 보안을 포함한 시그니처 및 행동 보호를 결합하여 새로운 위협에 맞섭니다. 중앙 집중식 SaaS 인프라를 통해 관리를 간소화하면서 클라우드, 온프레미스, 엣지 환경에 걸쳐 애플리케이션을 일관되게 보호해야 하는 부담과 복잡성을 완화합니다. 또한 F5 WAF는 분산된 여러 애플리케이션에 걸쳐 앱 성능 및 보안 이벤트를 전방위로 볼 수 있는 단일 대시보드를 통한 핵심 보안 기능, 중앙 집중식 오케스트레이션, 감독을 통해 보호 기능을 개발 프레임워크 및 CI/CD 파이프라인에 통합하여 앱 보안을 간소화합니다.

또한 F5는 앱이 진화하고 API 배포가 증가함에 따라 확대하는 공격 표면과 새로운 위협을 차단하는 솔루션을 통해 OWASP API 보안 Top 10에 명시된 위험을 해결합니다. F5 Web Application and API Protection(WAAP) 솔루션은 WAF,
API 보안, L3-L7 DDoS 완화, 자동화된 위협 및 사기에 대한 봇 방어를 포함한 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅 위치에 관계없이 앱과 API 전체에 일관된 정책을 배포하고 보안을 확장하며 API 수명 주기 및 광범위한 생태계에 보안을 통합할 수 있습니다.

F5 WAF 솔루션은 F5 Labs의 위협 인텔리전스 및 머신러닝 기반 보안을 포함한 시그니처 및 행동 보호를 결합하여 새로운 위협에 맞섭니다. 중앙 집중식 SaaS 인프라를 통해 관리를 간소화하면서 클라우드, 온프레미스, 엣지 환경에 걸쳐 애플리케이션을 일관되게 보호해야 하는 부담과 복잡성을 완화합니다. 또한 F5 WAF는 분산된 여러 애플리케이션에 걸쳐 앱 성능 및 보안 이벤트를 전방위로 볼 수 있는 단일 대시보드를 통한 핵심 보안 기능, 중앙 집중식 오케스트레이션, 감독을 통해 보호 기능을 개발 프레임워크 및 CI/CD 파이프라인에 통합하여 앱 보안을 간소화합니다.

또한 F5는 앱이 진화하고 API 배포가 증가함에 따라 확대하는 공격 표면과 새로운 위협을 차단하는 솔루션을 통해 OWASP API 보안 Top 10에 명시된 위험을 해결합니다. F5 Web Application and API Protection(WAAP) 솔루션은 WAF, API 보안, L3-L7 DDoS 완화, 자동화된 위협 및 사기에 대한 봇 방어를 포함한 포괄적인 보호 기능을 통해 최신 앱 공격 표면 전체를 방어합니다. 분산 플랫폼을 사용하면 호스팅 위치에 관계없이 앱과 API 전체에 일관된 정책을 배포하고 보안을 확장하며 API 수명 주기 및 광범위한 생태계에 보안을 통합할 수 있습니다.

F5는 또한 OWASP의 Automated Threats to Web Applications Project에 명시된 위험을 해결하기 위한 솔루션을 제공합니다. F5 Distributed Cloud Bot Defense는 기존 봇 관리 솔루션을 우회할 수 있는 사기 및 남용을 방지하고 실시간 모니터링 및 인텔리전스뿐만 아니라 ML 기반 소급 분석을 제공하여 사용자 불편을 더하거나 고객 경험을 방해하지 않고 자동화된 공격으로부터 조직을 보호합니다. Distributed Cloud Bot Defense는 공격자가 어떻게 리툴링하는지, 공격이 웹 앱에서 API로 피벗되는지 아니면 텔레메트리를 스푸핑하거나 인간 CAPTCHA 솔버를 사용하여 반자동화 방어 우회를 시도하는지에 관계없이 효율성을 유지합니다.

F5는 또한 대규모 네트워크, 프로토콜, 애플리케이션 대상 공격을 실시간으로 탐지하고 완화하는 관리형 클라우드 제공 완화 서비스로서 첨단 온라인 보안을 위한 다중 계층 DDoS 보호 기능을 제공합니다. 온프레미스 하드웨어, 소프트웨어, 하이브리드 솔루션과 동일한 보호 기능을 사용할 수 있습니다. F5 Distributed Cloud DDoS Mitigation은 볼륨 및 애플리케이션별 레이어 3-4 및 고급 레이어 7 공격이 네트워크 인프라 및 애플리케이션에 도달하기 전에 차단합니다.