Saat bisnis semakin bergantung pada API (Application Programming Interface) untuk mendukung operasi digitalnya, ancaman siber terhadap API juga semakin meningkat. Bagaimana perusahaan dapat melindungi API dari penyalahgunaan dan serangan maya, misalnya dengan memanfaatkan teknologi terkini seperti AI?
Menurut studi terbaru dari Akamai, serangan siber terhadap aplikasi web dan API di kawasan Asia-Pasifik (APAC) meningkat sebesar 65% dalam setahun terakhir. Pada Juni 2024 saja, tercatat 4,8 miliar serangan siber. Peningkatan ini dipicu oleh cepatnya implementasi aplikasi untuk meningkatkan pengalaman pelanggan dan mendorong pertumbuhan bisnis. Namun, hal ini juga memperluas permukaan serangan dan membuka berbagai celah kerentanan.
Australia, India, dan Singapura menjadi target utama serangan, diikuti oleh China, Jepang, Selandia Baru, Korea Selatan, dan Hong Kong. Sektor jasa keuangan dan perdagangan tercatat sebagai industri yang paling sering diserang. Sektor kesehatan dan manufaktur juga kini menjadi incaran karena adopsi teknologi digital yang terus meningkat.
Biaya Tinggi Pelanggaran API
Reuben Koh, Director of Security, Technology and Strategy, Asia Pacific and Japan, Akamai, menjelaskan bahwa pelanggaran terhadap API (API breach) bisa sangat merugikan perusahaan. “Tidak hanya dalam bentuk denda tetapi juga kerugian besar dalam hal data pelanggan yang hilang, seringkali jumlahnya mencapai 10 sampai 20 juta data dalam satu kali pelanggaran, di berbagai sektor seperti perbankan, telekomunikasi, dan layanan kesehatan,” jelas Reuben dalam wawancara khusus dengan InfoKomputer.
Menurut Reuben, ada tiga aspek kerugian yang harus ditanggung perusahaan. Pertama, perusahaan harus memberikan kompensasi kepada pelanggan yang datanya bocor, yang artinya akan menambah beban finansial.
Selain itu, perusahaan juga harus melakukan pembersihan dengan mendatangkan pakar keamanan untuk melakukan forensik dan membangun ulang jaringan dari awal. Proses ini memerlukan biaya yang tidak sedikit, dan jika perusahaan terikat dengan regulasi ketat, mereka mungkin harus membayar denda dan penalti, yang dapat meningkatkan kerugian finansial mereka.
Namun, menurut Reuben, kerugian terbesar yang dialami perusahaan adalah dampak terhadap loyalitas pelanggan. "Jika data pelanggan mereka bocor dan dicuri—misalnya, nomor SIM mereka dicuri, nomor kartu kredit mereka dicuri—mereka mulai kehilangan kepercayaan pada perusahaan tersebut," katanya.
Hilangnya kepercayaan ini akan membuat pelanggan beralih ke kompetitor yang dianggap lebih peduli terhadap perlindungan data. “Dan kita tahu, membangun kembali loyalitas pelanggan membutuhkan waktu yang lebih lama dibandingkan dengan memulihkan pendapatan finansial,” Reuben mengingatkan.
Ancaman terhadap API: Penyalahgunaan dan DDoS
Menjaga loyalitas pelanggan bukan hanya soal memulihkan kepercayaan, tetapi juga melibatkan perlindungan terhadap data dan sistem yang mereka percayai dari berbagai ancaman. Reuben Koh menjelaskan dua ancaman terhadap API yang belakangan ini semakin jamak terjadi: penyalahgunaan API dan serangan Distributed Denial of Services (DDoS).
“Penyalahgunaan API terjadi ketika API digunakan untuk tujuan yang tidak sesuai dengan desainnya, seperti penipuan, meskipun API itu sendiri tidak diserang secara langsung," kata Reuben. Menurut profesional yang telah malang melintang di bidang keamanan siber selama dua dekade ini, taktik ini sulit dideteksi, karena kebanyakan kontrol keamanan hanya dirancang untuk menangani serangan langsung.
Serangan Distributed Denial of Services (DDoS), yang bertujuan untuk membuat API tidak dapat diakses oleh pengguna, juga semakin marak. Padahal, API ada di balik berbagai aplikasi yang dimanfaatkan masyarakat untuk melakukan aktivitas sehari-hari, seperti memesan taksi, membeli tiket film, membayar makan siang, membeli tiket kereta, dan sebagainya, yang menjadikannya sasaran empuk bagi serangan.
Shadow API, Risiko yang Terabaikan
Di tengah meningkatnya ancaman terhadap API, ada faktor lain yang memperburuk kerentanannya. Salah satu vektor serangan yang kerap terlupakan adalah shadow API, yaitu API yang tidak dikelola dengan baik dan sering kali tidak terdeteksi. Menurut sebuah studi di tahun 2022, sekitar 30% dari API yang ada saat ini adalah shadow API.
Kebutuhan bisnis untuk menghasilkan fitur dan layanan baru, berinovasi dengan lebih cepat menjadi penyebab shadow API berkembang tak terkendali. Menurut Reuben Koh, perusahaan dan organisasi menciptakan lebih banyak API daripada yang dapat mereka kelola. API dibuat dan diterapkan dengan cepat untuk memenuhi tenggat waktu, tetapi kemudian terlupakan atau diabaikan.
Hal ini menciptakan blind spot dalam infrastruktur keamanan perusahaan. "Jika API tersebut ditemukan oleh penyerang dan digunakan sebagai titik masuk (entry point), Anda tidak akan mengetahuinya karena itu berada di blind spot Anda," jelasnya. API yang tidak dipantau dan tidak terdokumentasi ini menimbulkan risiko besar karena data sensitif, seperti data pembayaran atau keuangan, dapat diproses tanpa ada yang menyadarinya.
API Adalah Kunci Bagi AI
Lantas bagaimana peran API di era kecerdasan buatan (AI)? Reuben Koh menjelaskan bahwa API adalah kunci bagi AI untuk berinteraksi dengan dunia nyata dan mencapai tujuannya. Namun, ada risiko keamanan yang mengintai di sana, yaitu kerentanan (vulnerability) yang muncul saat pengembangan API untuk model AI.
“Kita perlu memastikan bahwa API itu sendiri bebas dari kerentanannya, karena jika tidak, celah keamanan ini dapat dieksploitasi dan berpotensi mempengaruhi model AI secara langsung,” jelas Reuben.
Selain itu, salah konfigurasi API juga bisa menjadi ancaman berbahaya bagi AI. API-nya sendiri mungkin bebas dari kerentanan, tetapi ketika terjadi salah konfigurasi, terbukalah jalan bagi serangan. “Misalnya, API yang seharusnya hanya menerima lalu lintas terenkripsi bisa dikonfigurasi untuk menerima lalu lintas yang tidak terenkripsi, yang menambah risiko model AI diserang,” jelasnya.
Ancaman lain adalah serangan DDoS yang dapat menghentikan fungsi API sehingga pada akhirnya akan menghalangi AI menyelesaikan tugasnya.
Risiko lain datang dari penggunaan API library pihak ketiga dan open source. Tak jarang pengembang ingin menghemat waktu dan memilih untuk menggunakan library yang tersedia di repository pihak ketiga atau open source, yang mungkin telah “terinfeksi malware.”
“Jika library yang terinfeksi ini digunakan untuk membangun API, maka malware tersebut secara tak sengaja akan disematkan ke dalam API saat diproduksi sehingga meningkatkan risiko tersembunyi bagi lingkungan AI,” kata Reuben.
Dibutuhkan Pendekatan Keamanan Modern
Untuk menangani ancaman-ancaman terhadap API saat ini, menurut Reuben Koh, dibutuhkan pendekatan keamanan baru karena metode serangan yang dilancarkan para aktor ancaman semakin canggih.
Ia memaparkan, tak sedikit perusahaan yang berupaya melindungi API dengan cara-cara konvensional, misalnya memasang firewall aplikasi di depan API, dan menganggap itu sudah cukupi. “Karena mereka beranggapan bahwa semua serangan akan lewat melalui firewall tersebut, dan firewall itu akan menangkap semua serangan dan menjaga API tetap aman,” katanya.
Menurut Reuben, cara-cara seperti itu mungkin ampuh ketika diterapkan delapan tahun lalu, ketika serangan API masih sangat sederhana, sangat tradisional, dan sangat mudah untuk dihentikan. “Tetapi hari ini, karena tingkat kecanggihan yang digunakan dalam serangan API, firewall tidak lagi cukup,” tegasnya. Reuben mencontohkan penyalahgunaan API yang bukan termasuk serangan sehingga firewall tidak dapat menangkapnya.
“Dan bagaimana dengan API yang tidak berada di belakang firewall? Misalnya API dengan penyedia pihak ketiga Anda. Bisa jadi API itu berada di tempat lain yang tidak mungkin Anda pasangi firewall aplikasi web di depannya.” ujarnya. Dalam kasus seperti ini, tak jarang perusahaan mengorbankannya dengan membiarkan API tersebut tidak terlindungi atau hanya menaruhnya dalam skenario gateway API, yang tidak dirancang untuk keamanan.
Empat Area Pengamanan API
Oleh karena itu, Akamai menyarankan pendekatan keamanan abad 21 untuk menangani ancaman keamanan terhadap API. Ada empat area utama dalam keamanan API tingkat lanjut dari Akamai.
Pertama adalah visibilitas yang komprehensif di seluruh lingkungan API sehingga perusahaan dapat melihat dan memantau semua API, termasuk shadow API. “Dari ujung ke ujung, baik API yang tidak terdokumentasi, tidak terkelola, maupun tidak terpantau, semuanya harus ditemukan,” kata Reuben.
Setelah itu, perusahaan harus memahami postur dari API-API yang telah dipublikasikan tersebut dengan melakukan monitoring secara terus menerus terhadap API traffic, baik dari dalam keluar maupun dari luar ke dalam. “Dengan cara ini, kita memastikan postur API tetap aman,” ujarnya.
Area ketiga yang penting diperhatikan adalah pemantauan penyalahgunaan API. Di sini, Akamai memanfaatkan kecerdasan buatan atau AI untuk mempelajari perilaku lalu lintas API. “AI digunakan untuk memahami, apakah API ini disalahgunakan? Apakah seseorang mencoba membuat akun palsu atau apakah seseorang mencoba memeriksa nomor kartu kredit palsu menggunakan API?” jelas Reuben Koh.
Selanjutnya, Reuben juga menyoroti soal API testing, yang berkaitan erat dengan praktik DevSecOps. “Pengujian akan menjadi sangat penting. Namun, masalah yang dihadapi oleh sebagian besar pengembang adalah (proses yang) panjang, lambat, memakan waktu banyak, sangat membosankan, sementara pengembang harus melakukan banyak hal,” ujarnya.
Untuk itu, Akamai menyarankan proses pengujian yang dilakukan secara otomatis. Reuben menjelaskan bahwa Akamai menyediakan tool pengujian API berbasis AI, yang dapat membantu para developer melakukan pengujian secara otomatis dan cerdas, menemukan masalah dan memberikan rekomendasi solusinya kepada pengembang. “Sehingga Anda tidak membuang waktu untuk mencoba mencari di Google cara terbaru untuk memperbaiki cacat ini dalam API,” imbuhnya.
Lanskap keamanan API diperkirakan Akamai akan menghadapi tantangan yang semakin besar ke depannya karena semakin tingginya ketergantungan pada API. Hal ini dipicu oleh tiga faktor utama: rantai pasokan digital, globalisasi, dan AI.
Reuben mengingatkan bahwa akan selalu ada API yang rentan, yang dikonfigurasi dengan salah, dan yang rentan terhadap penyalahgunaan sehingga potensi pelanggaran API akan terus terjadi. “Oleh karena itu, Akamai berupaya mengubah itu dengan mengedukasi pelanggan, industri, dan komunitas tentang betapa pentingnya keamanan API dan mengapa mereka harus peduli; serta bagaimana kami dapat membantu mereka, bermitra dengan mereka untuk memastikan bahwa mereka dapat berinovasi dengan cepat dan aman saat menggunakan API,” Reuben Koh menegaskan.
Baca juga: Akamai dan Kyndryl Tawarkan Layanan Keamanan Segmentasi Zero Trust