Keamanan API tetap menjadi perhatian utama keamanan siber tahun ini, menurut sebuah studi baru, namun masih ada kekurangan keamanan API khusus untuk banyak perusahaan.
Penelitian dari TraceableAI, yang dilakukan pada konferensi RSA tahun ini, menemukan bahwa meskipun 69 persen organisasi mengklaim memasukkan API ke dalam strategi keamanan siber mereka, 40 persen perusahaan tidak memiliki profesional atau tim khusus untuk keamanan API.
Memang 23 persen responden tidak mengetahui apakah ada keamanan API khusus di organisasi mereka. Sementara banyak organisasi (61 persen) tidak percaya bahwa mereka telah mengalami serangan API dalam 12 bulan terakhir, 36 persen responden yang mengkhawatirkan tidak yakin.
Dari mereka yang telah mengadopsi alat keamanan API, 25 persen solusi profesional tidak dapat mendasarkan perilaku API dan mengidentifikasi aktivitas abnormal yang berpotensi mengindikasikan serangan API. 50 persen responden yang mengkhawatirkan tidak yakin apakah solusi keamanan API mereka memiliki kemampuan ini.
“Dengan API menjadi vektor serangan universal dan penyebab beberapa pelanggaran data terbesar dalam beberapa tahun terakhir, sangat memprihatinkan untuk mengetahui bahwa 40 persen organisasi tidak memiliki profesional atau tim keamanan API khusus untuk mengatasi masalah ini, dengan 23 persen tidak yakin apakah mereka memiliki tim sama sekali. Hal yang sama memprihatinkan adalah bahwa 40 persen organisasi tidak memiliki solusi keamanan API,” kata Richard Bird, kepala petugas keamanan di Traceable. “Di masa lalu, peretas harus menyusun strategi untuk melewati pertahanan yang ada untuk menemukan data dan mengganggu sistem. Sekarang, mereka dapat dengan mudah mengeksploitasi API dan mendapatkan akses ke data sensitif bahkan tanpa mengeksploitasi solusi lain di tumpukan keamanan. Inilah sebabnya mengapa lebih banyak organisasi perlu memperhatikan keamanan API dengan serius dan menjadikannya bagian integral dari strategi keamanan siber mereka yang lebih luas.”
LIHAT JUGA:
Di antara temuan lainnya adalah bahwa kepemilikan keamanan API tetap terfragmentasi antara tim yang berbeda, dengan 38 persen responden mengklaim CISO memilikinya, sementara 25 persen mengklaim pengembangan dan/atau DevOps mengambil alih kepemilikan. 24 persen responden tidak tahu siapa pemiliknya.
Mayoritas responden (66 persen) berjuang dengan API sprawl, atau tidak tahu apakah perusahaan mereka mengelola API sprawl secara efektif.
Anda bisa mendapatkan laporan lengkap dari situs Traceable.
Kredit Gambar: totallyPic.com / Shutterstock
