Bahaya API

Application Programming Interface(API) adalah pahlawan tanpa tanda jasa dari revolusi digital. Ia menjadi perekat yang menyatukan berbagai komponen perangkat lunak untuk menciptakan pengalaman pengguna baru. Meski demikian, API seperti ancaman terpendam yang kita sebut sebagai bahaya API.

Dalam menyediakan jalur langsung ke database back-end, API merupakan target yang menarik bagi pelaku kejahatan dunia maya. Selama beberapa tahun terakhir jumlah berkembang sangat pesat, menyebabkan banyak penyebaran menjadi tidak berdokumen dan tidak aman.

Menurut sebuah studi baru-baru ini, 94% organisasi global telah mengalami masalah keamanan API dalam produksi selama setahun terakhir dengan hampir seperlima (17%) mengalami pelanggaran terkait API. Saatnya untuk mendapatkan visibilitas dan kendali atas blok bangunan digital ini.

Baca juga: Installer Berbahaya Incar Asia Tenggara

Bahaya API

API adalah kunci untuk perusahaan yang dapat disusun: sebuah konsep Gartner di mana organisasi didorong untuk memecah aplikasi mereka menjadi kemampuan bisnis terpaket (PBC). Idenya adalah bahwa merakit komponen yang lebih kecil ini dengan berbagai cara memungkinkan perusahaan untuk bergerak lebih gesit dengan kecepatan yang lebih tinggi, menciptakan fungsionalitas dan pengalaman baru sebagai respons terhadap kebutuhan bisnis yang berkembang pesat. API adalah komponen penting dari PBC yang penggunaannya melonjak akhir-akhir ini dengan peningkatan adopsi arsitektur layanan mikro.

Oleh karena itu, hampir semua (97%) pemimpin TI global sekarang setuju bahwa mengeksekusi strategi API dengan sukses sangat penting untuk pendapatan dan pertumbuhan di masa mendatang. Namun volume API yang semakin banyak dan distribusinya di berbagai arsitektur dan tim menjadi sumber perhatian. Mungkin ada puluhan atau bahkan ratusan ribu API yang menghadap pelanggan dan mitra di perusahaan besar. Bahkan organisasi menengah mungkin menjalankan ribuan.

Dampaknya bagi Perusahaan

Ancamannya juga jauh dari teoretis. Tahun ini saja kita telah melihat:

1. T-Mobile USA mengakui bahwa 37 juta pelanggan memiliki informasi pribadi dan akun mereka yang diakses oleh aktor jahat melalui API

2. Miskonfigurasi Open Authorization (Oauth) di Booking.com yang dapat menyebabkan serangan serius pengambilalihan akun pengguna di situs

Bukan hanya reputasi perusahaan dan intinya yang berisiko dari ancaman API. Mereka juga dapat menahan proyek bisnis penting. Lebih dari setengah (59%) organisasi mengklaim bahwa mereka harus memperlambat peluncuran aplikasi baru karena masalah keamanan API. Itulah bagian dari alasan mengapa sekarang menjadi topik diskusi tingkat C untuk setengah dari dewan.

Baca juga: Strongpity Backdoor Spionase Berbahaya

Tiga Risiko API Teratas

Ada lusinan cara peretas dapat mengeksploitasi API, tetapi OWASP adalah sumber daya masuk bagi mereka yang ingin memahami ancaman terbesar bagi perusahaan mereka. Daftar OWASP API Security Top 10 2023 merinci tiga risiko keamanan utama berikut:

1. Broken Object Level Authorization (BOLA): API gagal memverifikasi apakah pemohon harus memiliki akses ke suatu objek. Hal ini dapat menyebabkan pencurian data, modifikasi atau penghapusan. Penyerang hanya perlu menyadari bahwa masalahnya ada – tidak diperlukan peretasan kode atau kata sandi yang dicuri untuk mengeksploitasi BOLA.

2. Broken Authentication: Perlindungan otentikasi yang hilang dan/atau salah diterapkan. Otentikasi API bisa menjadi “kompleks dan membingungkan” bagi banyak pengembang, yang mungkin memiliki kesalahpahaman tentang cara mengimplementasikannya, OWASP memperingatkan. Mekanisme autentikasinya sendiri juga diekspos kepada siapa saja, menjadikannya target yang menarik. Endpoint API yang bertanggung jawab untuk autentikasi harus diperlakukan berbeda dari yang lain, dengan perlindungan yang ditingkatkan. Dan setiap mekanisme autentikasi yang digunakan harus sesuai dengan vektor serangan yang relevan.

3. Broken Object Property Level Authorization (BOPLA): Penyerang dapat membaca atau mengubah nilai properti objek yang tidak seharusnya mereka akses. Endpoint API rentan jika mengekspos properti objek yang dianggap sensitif (“eksposur data berlebihan”); atau jika mengizinkan pengguna untuk mengubah, menambah/atau menghapus nilai properti objek sensitif (“penugasan massal”). Akses yang tidak sah dapat mengakibatkan pengungkapan data kepada pihak yang tidak berwenang, kehilangan data, atau manipulasi data.

Penting juga untuk diingat bahwa kerentanan ini tidak eksklusif satu sama lain. Beberapa pelanggaran data berbasis API terburuk disebabkan oleh kombinasi eksploitasi seperti BOLA dan paparan data yang berlebihan.

Baca juga: Bahaya Pelacakan Lokasi Tak Seorang Pun Aman

Cara Mengatasi Bahaya API

Mengingat apa yang dipertaruhkan, penting bagi Anda untuk membangun keamanan ke dalam strategi API apa pun sejak awal.

Itu berarti memahami di mana semua API Anda berada, dan menambahkan alat dan teknik untuk mengelola autentikasi endpoint, mengamankan komunikasi jaringan, memitigasi bug umum, dan mengatasi ancaman bot jahat.

Berikut cara memulai agar terhindar dari bahaya API:

1. Tingkatkan tata kelola API dengan mengikuti model pengembangan aplikasi yang berpusat pada API yang memungkinkan Anda memperoleh visibilitas dan kontrol.

2. Gunakan alat penemuan API untuk menghilangkan jumlah API bayangan yang sudah ada di perusahaan dan memahami di mana letak API dan apakah mengandung kerentanan

3. Terapkan gateway API yang menerima permintaan klien dan merutekannya ke layanan backend yang tepat. Ini akan membantu Anda mengautentikasi, mengontrol, memantau, dan mengamankan lalu lintas API

4. Tambahkan firewall aplikasi web (WAF) untuk meningkatkan keamanan gateway Anda, memblokir lalu lintas berbahaya termasuk DDoS dan upaya eksploitasi

5. Enkripsi semua data (yaitu, melalui TLS) yang berjalan melalui API, sehingga tidak dapat dicegat dalam serangan man-in-the-middle

6. Gunakan OAuth untuk mengontrol akses API ke sumber daya seperti situs web tanpa memaparkan kredensial pengguna

7. Terapkan pembatasan tarif untuk membatasi seberapa sering API Anda dapat dipanggil. Ini akan mengurangi ancaman dari serangan DDoS dan lonjakan yang tidak diinginkan lainnya

8. Gunakan alat pemantauan untuk mencatat semua peristiwa keamanan dan menandai aktivitas yang mencurigakan

9. Pertimbangkan pendekatan tzero trust yang menyatakan bahwa tidak ada pengguna, aset, atau sumber daya di dalam perimeter yang dapat dipercaya. Sebagai gantinya, Anda perlu meminta bukti autentikasi dan otorisasi untuk setiap operasi

10. Transformasi digital mendorong pertumbuhan berkelanjutan untuk perusahaan modern. Dengan menempatkan API di setiap proyek pengembangan baru. Mereka harus dikembangkan dengan prinsip desain yang aman dan dilindungi dalam produksi dengan pendekatan berlapis-lapis.

Sumber berita:

WeLivesecurity