Penulis: Reuben Koh, Director of Security Technology & Strategy, APJ, Akamai Technologies
[Redaksi] Penerapan API telah melonjak, memberikan keuntungan besar bagi perusahaan melalui penyederhanaan proses dan peningkatan inovasi, tapi juga meningkatkan risiko serangan siber. Akamai membagikan 8 strategi kunci keamanan API.
Dalam beberapa tahun terakhir, kita sudah melihat lonjakan dalam penerapan application programming interfaces (APIs) yang pada gilirannya memberikan keuntungan besar bagi perusahaan, baik itu dari penyederhanaan proses, maupun peningkatan inovasi.
Namun, pertumbuhan ini juga ternyata membukakan kesempatan bagi penjahat siber untuk mengeksploitasi berbagai kerentanan yang ada. Laporan State of the Internet (SOTI) dari Akamai, bertajuk “Lurking in the Shadows: Attack Trends Shine Light on API Threats,” menemukan bahwa 15% dari seluruh serangan web di wilayah Asia Pasifik dan Jepang (APJ) menjadikan API sebagai target. Di tingkat global, kawasan APJ mencapai persentase tertinggi ketiga setelah Eropa, Timur Tengah, Afrika, dan Amerika Utara.
Dari sudut pandang keamanan dan manajemen risiko, data tersebut menunjukkan pentingnya menjaga API. Selain itu, hukum dan peraturan yang berlaku serta pembaruan supaya legislasi keamanan siber sejalan dengan lanskap ancaman, juga menunjukkan bahwa perlindungan API adalah sebuah keharusan.
Sayangnya, keamanan API masih membingungkan bagi para pemimpin keamanan. Itulah mengapa pemerintah, melalui Badan Siber dan Sandi Negara (BSSN), berinisiatif meluncurkan panduan pengembangan aplikasi berbasis API yang aman. Panduan ini bisa dimanfaatkan sebagai referensi oleh pengembang dan manajer TI di perusahaan swasta, maupun badan usaha milik pemerintah.
Intinya adalah mengatasi tantangan keamanan API yang kompleks membutuhkan strategi yang spesifik. Inilah delapan strategi kunci yang dapat diterapkan, dan kesalahan yang harus dihindari, saat mengembangkan strategi keamanan API yang lebih matang untuk perusahaan Anda.
1. Usahakan visibilitas API yang lengkap
Mengetahui di mana semua API Anda berada adalah langkah pertama untuk mencegah munculnya jenis serangan ini. Semakin lama API tidak teridentifikasi, semakin besar kemungkinannya menjadi target bagi penyerang.
Cara terbaik untuk mendapatkan visibilitas penuh adalah dengan memastikan bahwa platform keamanan API Anda bisa menyerap informasi dari sumber data seluas mungkin, termasuk API gateway, perangkat jaringan, solusi orkestrasi layanan mikro, penyedia cloud, dan lainnya. Visibilitas API sepenuhnya akan membantu menyelamatkan Anda dari ancaman seperti API bayangan atau zombie sebagai tempat pembocoran data API secara diam-diam menggunakan teknik serangan low-and-slow untuk mencuri data dari API sering terjadi.
2. Jangan takut dengan cloud
Web application firewalls (WAFs) menerapkan teknik berbasis signature untuk memblokir permintaan API yang tidak sah. Namun, serangan API yang berkembang seperti penyalahgunaan logika API, mengharuskan adanya lapisan perlindungan tambahan menggunakan analitik perilaku.