Menumbuhkan ekosistem digital, meningkatkan risiko keamanan siber, peraturan yang terfragmentasi, dan tantangan ekonomi menekankan perlunya keamanan API holistik

Merah, ungu, dan biru -- tim keamanan mencegah para peretas

keamanan cyber

Tantangan yang dihadapi komunitas bisnis global dalam beberapa tahun terakhir belum pernah terjadi sebelumnya. Pandemi, inflasi, krisis energi, perang, penurunan ekonomi, dan rantai pasokan yang terfragmentasi dan tertunda semuanya telah menciptakan masalah bagi organisasi dan tidak membiarkan industri, pasar, atau wilayah tidak tersentuh.

Namun, terlepas dari masalah ini, ekosistem dan jejak digital kita tumbuh semakin besar dan semakin kompleks. Pasar transformasi digital global bernilai $731,13 miliar pada tahun 2022, dan sekarang diharapkan tumbuh pada CAGR sebesar 26,7 persen pada tahun 2030; didorong terutama oleh bisnis mencoba untuk mendapatkan keunggulan kompetitif. Namun, ukuran dan kerumitan dunia digital kita yang membuat risiko dan ancaman dunia maya menjadi lebih nyata dan lebih kuat.

Dengan lebih banyak inisiatif transformasi digital dan lebih banyak penyedia pihak ketiga yang terlibat dalam penyediaan dan distribusi barang dan layanan digital, hal ini menciptakan lebih banyak peluang bagi penjahat dunia maya untuk menargetkan infrastruktur kami. Itu karena inisiatif ini meningkatkan kompleksitas — dengan lebih banyak titik koneksi, lebih banyak pihak ketiga, dan rantai pasokan digital yang lebih panjang.

Hal ini, pada gilirannya, meningkatkan kebutuhan akan lebih banyak API dan integrasi API — menciptakan peningkatan risiko dan vektor serangan. Kenyataannya adalah bahwa API adalah jaringan ikat untuk dunia digital, tetapi ledakan penggunaan API telah menciptakan ancaman baru dan berkembang pesat bagi organisasi di seluruh dunia.

Lebih sedikit talenta teknologi, lebih banyak AI, dan pembuatan kode otomatis

Selain itu, semakin sedikit orang berbakat dengan pengetahuan yang memadai untuk mengelola dan membangun infrastruktur dengan baik. 71 persen CEO mengantisipasi bahwa kekurangan keterampilan dan tenaga kerja akan menjadi gangguan terbesar di tahun 2022, dan kesenjangan keterampilan ini secara lebih khusus diperkirakan akan merugikan bisnis triliunan dolar pada akhir dekade ini. Ini mendorong organisasi untuk melihat bagaimana atau apa yang dapat mereka otomatisasi untuk mengisi celah itu.

Otomasi, didorong oleh AI dan dipelopori oleh raksasa digital dan perangkat lunak penghasil teks mereka seperti ChatGPT dan Google Bard semuanya sangat populer sebagai hasilnya. Kemampuan alat ini untuk menghasilkan kode yang berfungsi akan semakin menjadi tulang punggung bagi banyak layanan dan produk digital; terutama dengan lebih sedikit pakar teknologi dan lebih banyak baris kode untuk diprogram (semakin kompleks).

Alat semacam itu mudah diakses, dan potensi peningkatan produktivitasnya sangat besar, tetapi sayangnya manfaatnya juga datang dengan beberapa kelemahan utama. Tidak dapat disangkal bahwa alat-alat ini memiliki kemampuan untuk membuat pengembangan menjadi lebih mudah dan lebih cepat. Namun, dalam hal menghasilkan kode keamanan, jurinya masih keluar. Alat AI menggunakan luasnya pengetahuan yang ada, tetapi tidak memiliki kreativitas dan inisiatif manusia, dan ini berarti kerentanan dapat menyusup ke dalam kode. Dan sayangnya, penyerang hanya membutuhkan satu kerentanan untuk mendapatkan akses ke informasi penting melalui API.

Selain itu, ini juga meningkatkan potensi, dan kemungkinan penggunaan, alat pembuatan kode otomatis seperti GitHub. Tentu saja, alat-alat ini memiliki potensi untuk membuat hidup lebih mudah bagi pengembang yang stres dan banyak permintaan — tetapi tim peneliti yang terkait dengan Stanford University juga menemukan bahwa alat ini membuat kerentanan dan kelemahan keamanan dalam aplikasi yang mereka kembangkan jauh lebih mungkin terjadi.

Pergeseran peraturan global meningkatkan kompleksitas

Yang membuat masalah semakin sulit, hukum di berbagai negara berubah dengan cepat — dan tidak sinkron. Ini berarti bahwa perusahaan internasional mana pun dan rantai pasokannya yang panjang harus mematuhi aturan baru, yang berubah, dan terputus-putus.

Strategi Siber Nasional AS, kebijakan Pertahanan Siber UE dan Undang-Undang Ketahanan Siber, Arahan NIS2, Undang-Undang Ketahanan Operasional Digital (DORA), dan Konsultasi PSD3 tentang Perbankan Terbuka, mulai menunjukkan jumlah undang-undang tentang topik-topik yang luas ini dan masih banyak lagi yang sedang dikerjakan. Beberapa di antaranya adalah pedoman, beberapa hukum; beberapa komprehensif, beberapa kurang begitu. Ini membuatnya semakin sulit untuk tetap di depan.

Semua masalah yang diuraikan di atas menciptakan badai yang sempurna dan melakukan bisnis di seluruh matriks kebijakan, regulasi, dan keamanan yang begitu kompleks tidak hanya menciptakan inefisiensi yang sangat besar tetapi juga menyerang vektor dan kerentanan pada saat organisasi selalu waspada terhadap risiko dan risiko. biaya, karena iklim ekonomi.

Seberapa komprehensif keamanan API mengisi kekosongan tersebut

Dalam lingkungan yang rentan, tidak pasti, dan sangat diatur, sekarang ada persyaratan penting untuk keamanan API yang tepat yang dapat menemukan, memantau, dan memprediksi kerentanan sambil memperbaikinya sebelum menyebar melalui jaringan. Keamanan API yang komprehensif dan berdedikasi ini perlu “bergeser ke kiri” dan memulai kehidupan dari awal siklus hidup pengembangan perangkat lunak, tetapi “bersandar ke kanan” — menekankan perlindungan aktif dan real-time.

Pada akhirnya, tujuannya adalah untuk menetapkan kebijakan keamanan API yang komprehensif dan efisien yang dikelola secara proaktif dari waktu ke waktu. Penggunaan proses AI dan ML canggih untuk mengungkap ancaman baru sebelum memengaruhi jaringan juga penting. Seperti halnya pengujian berkelanjutan dan aktif untuk memastikan bahwa bisnis memiliki kemampuan waktu nyata untuk mengidentifikasi vektor serangan baru dan memulihkan kerentanan saat terungkap.

Seperti semua platform dan alat baru, penyedia keamanan API harus lebih dari sekadar vendor. Mereka perlu dipandang sebagai mitra tepercaya untuk membantu memastikan bahwa kebijakan dan alat keamanan API tetap berada di depan lanskap yang selalu berubah sekaligus meningkatkan kecepatan di mana pelanggan dapat memperluas bisnis mereka di lingkungan yang sangat kompetitif ini.

Saat kami melihat ke masa depan pengembangan perangkat lunak yang semakin cepat dengan menggabungkan pembuatan kode otomatis, sekarang lebih dari sebelumnya perusahaan akan membutuhkan alat keamanan API yang komprehensif dan fleksibel seperti penemuan, manajemen postur, perlindungan runtime, serta praproduksi dan penerapan. Ini akan memungkinkan mereka untuk secara aktif menguji, memprediksi, dan bertahan melawan kerentanan dan memenuhi tuntutan dunia yang semakin tidak dapat diprediksi.

Kredit gambar: BeeBright/depositphotos.com

Filip Verloy adalah CTO Lapangan di Noname Security.

Author: Kenneth Henderson