Dibutuhkan Pendekatan Keamanan Modern
Untuk menangani ancaman-ancaman terhadap API saat ini, menurut Reuben Koh, dibutuhkan pendekatan keamanan baru karena metode serangan yang dilancarkan para aktor ancaman semakin canggih.
Ia memaparkan, tak sedikit perusahaan yang berupaya melindungi API dengan cara-cara konvensional, misalnya memasang firewall aplikasi di depan API, dan menganggap itu sudah cukupi. “Karena mereka beranggapan bahwa semua serangan akan lewat melalui firewall tersebut, dan firewall itu akan menangkap semua serangan dan menjaga API tetap aman,” katanya.
Menurut Reuben, cara-cara seperti itu mungkin ampuh ketika diterapkan delapan tahun lalu, ketika serangan API masih sangat sederhana, sangat tradisional, dan sangat mudah untuk dihentikan. “Tetapi hari ini, karena tingkat kecanggihan yang digunakan dalam serangan API, firewall tidak lagi cukup,” tegasnya. Reuben mencontohkan penyalahgunaan API yang bukan termasuk serangan sehingga firewall tidak dapat menangkapnya.
“Dan bagaimana dengan API yang tidak berada di belakang firewall? Misalnya API dengan penyedia pihak ketiga Anda. Bisa jadi API itu berada di tempat lain yang tidak mungkin Anda pasangi firewall aplikasi web di depannya.” ujarnya. Dalam kasus seperti ini, tak jarang perusahaan mengorbankannya dengan membiarkan API tersebut tidak terlindungi atau hanya menaruhnya dalam skenario gateway API, yang tidak dirancang untuk keamanan.
Empat Area Pengamanan API
Oleh karena itu, Akamai menyarankan pendekatan keamanan abad 21 untuk menangani ancaman keamanan terhadap API. Ada empat area utama dalam keamanan API tingkat lanjut dari Akamai.
Pertama adalah visibilitas yang komprehensif di seluruh lingkungan API sehingga perusahaan dapat melihat dan memantau semua API, termasuk shadow API. “Dari ujung ke ujung, baik API yang tidak terdokumentasi, tidak terkelola, maupun tidak terpantau, semuanya harus ditemukan,” kata Reuben.
Setelah itu, perusahaan harus memahami postur dari API-API yang telah dipublikasikan tersebut dengan melakukan monitoring secara terus menerus terhadap API traffic, baik dari dalam keluar maupun dari luar ke dalam. “Dengan cara ini, kita memastikan postur API tetap aman,” ujarnya.
Area ketiga yang penting diperhatikan adalah pemantauan penyalahgunaan API. Di sini, Akamai memanfaatkan kecerdasan buatan atau AI untuk mempelajari perilaku lalu lintas API. “AI digunakan untuk memahami, apakah API ini disalahgunakan? Apakah seseorang mencoba membuat akun palsu atau apakah seseorang mencoba memeriksa nomor kartu kredit palsu menggunakan API?” jelas Reuben Koh.
Selanjutnya, Reuben juga menyoroti soal API testing, yang berkaitan erat dengan praktik DevSecOps. “Pengujian akan menjadi sangat penting. Namun, masalah yang dihadapi oleh sebagian besar pengembang adalah (proses yang) panjang, lambat, memakan waktu banyak, sangat membosankan, sementara pengembang harus melakukan banyak hal,” ujarnya.
Untuk itu, Akamai menyarankan proses pengujian yang dilakukan secara otomatis. Reuben menjelaskan bahwa Akamai menyediakan tool pengujian API berbasis AI, yang dapat membantu para developer melakukan pengujian secara otomatis dan cerdas, menemukan masalah dan memberikan rekomendasi solusinya kepada pengembang. “Sehingga Anda tidak membuang waktu untuk mencoba mencari di Google cara terbaru untuk memperbaiki cacat ini dalam API,” imbuhnya.
Lanskap keamanan API diperkirakan Akamai akan menghadapi tantangan yang semakin besar ke depannya karena semakin tingginya ketergantungan pada API. Hal ini dipicu oleh tiga faktor utama: rantai pasokan digital, globalisasi, dan AI.
Reuben mengingatkan bahwa akan selalu ada API yang rentan, yang dikonfigurasi dengan salah, dan yang rentan terhadap penyalahgunaan sehingga potensi pelanggaran API akan terus terjadi. “Oleh karena itu, Akamai berupaya mengubah itu dengan mengedukasi pelanggan, industri, dan komunitas tentang betapa pentingnya keamanan API dan mengapa mereka harus peduli; serta bagaimana kami dapat membantu mereka, bermitra dengan mereka untuk memastikan bahwa mereka dapat berinovasi dengan cepat dan aman saat menggunakan API,” Reuben Koh menegaskan.
Baca juga: Akamai dan Kyndryl Tawarkan Layanan Keamanan Segmentasi Zero Trust