Kerentanan ini dapat terjadi ketika aplikasi internal terintegrasi dengan endpoint API pihak ketiga dan menggunakan data tanpa sanitasi atau validasi respons.
Ini adalah pertama kalinya para ahli OWASP menambahkan masalah ‘Rantai Pasokan’ ke dalam daftar 10 teratas keamanan API.
James yakin masalah penggunaan API di pihak ketiga ini dapat menyebabkan pelanggaran data yang signifikan di masa mendatang.
Untuk mengatasi potensi pelanggaran data pada aplikasi API, perusahaan dapat melakukan berbagai langkah penting untuk meningkatkan keamanan API mereka, seperti:
1. Menerapkan mekanisme autentikasi dan otorisasi yang kuat untuk memastikan hanya pengguna yang berwenang yang dapat mengakses API-nya.
Hal ini termasuk penggunaan protokol autentikasi standar industri dan penerapan kontrol akses berbasis peran (RBAC).
2. Pahami API Anda melalui dokumentasi dan inventaris yang tepat. Inventaris yang komprehensif dan terkini dari semua API yang diketahui dapat membantu mencegah API bayangan yang tidak terpantau, dan mengurangi kemungkinan pelanggaran data.
3. Mencapai keseimbangan antara inovasi dan keamanan. Berikut adalah cara kunci untuk mencapai keseimbangan tersebut:
- Merancang strategi pengelolaan API untuk setiap jenis API yang berfungsi untuk menetapkan kontrol keamanan yang sesuai.
- Melaksanakan kebijakan keamanan API yang dapat diterapkan secara konsisten di mana pun API digunakan.
- Menyesuaikan diri dengan ancaman baru yang muncul dalam penggunaan AI.
4. Mengelola risiko selama siklus pengembangan perangkat penting dilakukan. Uji coba sebelum, selama, dan setelah implementasi sangatlah krusial.
Dengan mengintegrasikan pengujian ke setiap tahap pengembangan perangkat, Anda memiliki lebih banyak kesempatan untuk mengidentifikasi kelemahan dan kerentanan sebelum terjadi insiden pelanggaran data.
Keamanan juga harus diintegrasikan secara ketat dalam siklus hidup aplikasi yang sama, termasuk dalam alur kerja CI/CD, penyediaan layanan, dan ekosistem pemantauan peristiwa.
5. Perlindungan secara berlapis dari back-end ke end customer. Ketika berbicara tentang perlindungan di lapisan API, pertama-tama hal ini sangat penting untuk mengelompokkan API Anda ke dalam dua kategori: internal dan eksternal.