Mengamankan tempat berburu API

Mengamankan tempat berburu API

API Cerdas

Sebagian besar dari kita akrab dengan pepatah lama “karena kekurangan paku, sepatu hilang; karena kekurangan sepatu, kuda hilang; karena kekurangan kuda, pertempuran kalah…” dan seterusnya. Objek pelajarannya adalah bahwa objek atau tindakan yang kecil dan terkadang tampak tidak penting dapat memiliki dampak yang terlalu besar jika tidak diperhatikan dengan benar.

Begitu pula dengan Antarmuka Pemrograman Aplikasi atau API. Mereka adalah ‘paku tapal kuda’ di jantung bisnis modern.

Saat ini, API adalah perekat yang memungkinkan transformasi digital dan inisiatif TI penting lainnya untuk berkembang dan sukses. Meskipun cenderung rendah dan diabaikan, API melakukan pekerjaan penting untuk menyatukan infrastruktur komersial. Memang, mereka diam-diam telah menjadi sangat penting untuk operasi yang sedang berlangsung, artinya mereka sangat diperlukan untuk bagaimana hampir semua dari kita saat ini beroperasi.

API memungkinkan dunia digital kita

Ikuti dunia eCommerce saat ini. API memungkinkan konsumen memiliki cara belanja yang mengutamakan digital dan nyaman. Mereka memungkinkan pengecer untuk mengubah sistem dan proses mereka dengan cara yang cepat dan efisien dan pedagang untuk memberikan penawaran pada platform digital dan meningkatkan keterlibatan batu bata dan mortir tradisional. Dalam perawatan kesehatan, API mengubah cara kita tidak hanya mengakses layanan perawatan kesehatan tetapi juga memberikan efisiensi penting yang sangat dibutuhkan oleh penyedia layanan kesehatan yang kekurangan uang.

Demikian pula, industri manufaktur sangat menyadari bahwa masa depan manufaktur adalah digital, di mana digital menjadi sangat penting untuk memecahkan masalah produksi yang rumit dan meningkatkan ketangkasan bisnis.

Secara keseluruhan, perusahaan yang merangkul digital melihat kecepatan yang lebih besar ke pasar, pengurangan risiko, peningkatan margin, dan peningkatan posisi pasar. Untuk mencapai manfaat ini, organisasi harus bekerja lebih dekat dengan ekosistem mitra dan pemasok mereka untuk mengintegrasikan, mengakses, dan bertukar data; API-lah yang membuat visi digital ini menjadi kenyataan.

Sederhananya, API menciptakan pengalaman baru yang menarik bagi pelanggan, mitra, dan pemangku kepentingan utama lainnya — API kini menjadi misi penting di hampir setiap lingkungan dan industri yang dapat dibayangkan.

Memastikan API tidak disusupi adalah persyaratan keamanan yang ‘harus dimiliki’

Untuk alasan ini, jika tidak ada yang lain, memastikan bahwa API aman sangatlah penting. Tetapi kelemahan dari API adalah bahwa sekarang organisasi menyaksikan gelombang insiden keamanan terkait API yang dihasilkan dari API yang bocor, API sistem yang rentan, kelemahan otorisasi, dan banyak lagi. Faktanya, API dengan cepat menjadi salah satu vektor serangan teratas untuk kejahatan dunia maya. Dan itu membuat keamanan mereka menjadi pertimbangan yang lebih kritis daripada sebelumnya.

Jadi, memang, lakukan faktor lain. Fakta bahwa tujuan dan keharusan masing-masing dari sebagian besar tim keamanan dan pengembangan sekarang sering bertentangan adalah salah satu contohnya. Kurva ancaman API yang menanjak dengan cepat adalah hal lain.

Sehubungan dengan yang terakhir, semakin banyak driver yang mendorong penggunaan API tepat di seluruh perusahaan — kebutuhan komersial, transformasi digital, infrastruktur cloud publik, pengiriman tangkas/berkelanjutan, layanan mikro, dan persyaratan peraturan yang terus berkembang. Peningkatan tajam ini — yang pada gilirannya diperburuk oleh kekurangan karyawan dan keterampilan, peningkatan kapasitas keamanan, dan kesenjangan API yang melebar dengan cepat yang dihasilkan — melihat permukaan serangan API yang tersedia meningkat dengan cara yang belum pernah terjadi sebelumnya. Faktanya, Gartner telah memperkirakan bahwa pada tahun 2022 serangan API akan menjadi vektor serangan yang paling sering menyebabkan pelanggaran data untuk aplikasi bisnis perusahaan.

Dan meskipun banyak perusahaan kini berfokus pada keamanan API, masih ada celah keamanan yang signifikan. Survei Aplikasi Aman 2021 dari Dark Reading menyoroti bahwa 41 persen responden memperlakukan API sama dengan aplikasi web, dan hanya 23 persen yang memiliki proses khusus untuk mengevaluasi keamanan API.

Meremehkan pentingnya keamanan API

Masalahnya, bagaimanapun, masih banyak organisasi yang tidak menyadari apa artinya semua ini bagi bisnis mereka.

Ya, minat terhadap keamanan API melonjak dan dianggap serius oleh organisasi besar. Namun, terlepas dari ini, jika temuan survei kami baru-baru ini terhadap profesional keamanan siber perusahaan senior di enam vertikal utama adalah segalanya, tingkat sikap apatis dan kesalahpahaman yang mengkhawatirkan tampaknya tetap ada di tempat lain.

Misalnya, sementara 76 persen responden mengaku pernah mengalami insiden keamanan API dalam 12 bulan, 74 persen besar tidak memiliki inventaris API lengkap atau mengetahui API mana yang mengembalikan data sensitif. Sebanyak 71 persen peserta yang sama melaporkan bahwa mereka yakin dengan keamanan API yang disediakan oleh CSP mereka — yang tampaknya bertentangan jika Anda mempertimbangkan jumlah insiden keamanan API yang dilaporkan responden.

Dengan tiga perempat dari semua responden mengaku pernah mengalami insiden keamanan API, menurut kami akan menarik untuk memahami seberapa sering responden melakukan pengujian keamanan API untuk tanda-tanda penyalahgunaan. Kami merasa khawatir, mengingat banyaknya insiden, bahwa hanya 11 persen responden survei kami yang mengaku melakukan pengujian secara waktu nyata.

Putuskan keamanan API

Memang, angka-angka ini dan banyak angka lainnya dalam survei menunjukkan gambaran kontradiktif yang menunjukkan bahwa bisnis tidak nyaman dengan kenyataan mengelola dan mengamankan lahan API mereka. Kami menemukan keterputusan antara pandangan CISO seputar visibilitas ke dalam API dan keyakinan seputar alat DAST dan SAST serta penyedia cloud dan keamanan, dibandingkan dengan tim AppSec yang lebih operasional, yang menunjukkan kurangnya komunikasi dan pemahaman.

Untuk saat ini, jelas bahwa banyak organisasi perlu meninjau kembali langkah-langkah yang mereka miliki untuk memastikan perkebunan API mereka tidak menjadi tempat berburu yang menyenangkan bagi penjahat dunia maya oportunistik yang bertujuan untuk menyerang bisnis melalui “paku tapal kuda” fundamental yang menjadi dasar bagi yang lain. dari organisasi tergantung.

Kredit Gambar: totallyPic.com / Shutterstock

Shay Levi adalah Co-Founder dan CTO, Noname Security.

Author: Kenneth Henderson