Oleh: Lori MacVittie, Distinguished Engineer, F5
[Redaksi]: API juga semakin menjadi incaran para kriminal dunia maya sehingga membutuhkan pengamanan yang lebih komprehensif. Sebelum sampai pada strategi keamanan itu sendiri, siapa yang seharusnya bertanggung jawab akan keamanan API?
Data.ai menempatkan Indonesia di posisi kelima di dunia dalam hal jumlah aplikasi mobile yang diunduh yaitu sebesar 7,56 miliar di tahun 2023. Tren ini mendorong pertumbuhan Application Programming Interface (API).
Namun permasalahannya adalah pertumbuhan ini juga diikuti peningkatan serangan siber yang membidik API. Analisis kami menemukan bahwa 90% serangan siber berbasis web menargetkan API endpoints untuk mengeksploitasi kerentanan yang sering kali tidak dipantau secara aktif oleh tim keamanan.
Situasi ini tentu saja membutuhkan strategi keamanan API yang tangguh. Namun, siapa yang seharusnya mengarahkan strategi keamanan API Anda? Setidaknya ada tiga jawaban yang baik dan beberapa jawaban yang kurang tepat.
Perencanaan strategi, terutama yang berkaitan dengan teknologi, sering kali menjadi tanggung jawab eksekutif. Sementara strategi yang berhubungan dengan keamanan biasanya menjadi tanggung jawab CISO (Chief Information Security Officer). Atau, jika tidak ada peran tersebut, CIO (Chief Information Officer) lah yang bertanggung jawab atas hal tersebut.
Namun beberapa perusahaan mendelegasikan tanggung jawab perencanaan strategi keamanan API itu ke role lain di perusahaan. Para developer, SRE (Site Reliability Engineering), dan bahkan pekerja profesional jaringan bisa jadi memiliki strategi untuk mengamankan API saat ini.
Hal tersebut dilakukan mungkin karena tidak ada penelitian yang riil mengenai hasil dari keputusan seperti itu. Lagipula, ada alasan bagus bagi developer untuk menjalankan strategi keamanan API, sama seperti ada alasan bagus untuk memberikan tanggung jawab tersebut kepada orang-orang yang bersentuhan dengan API, entah selama proses pengembangan, pengujian, atau produksi.
Dalam penelitian terbaru F5 yang mempelajari keamanan API, kami menanyakan kepada setiap responden—individu-individu pengambil keputusan dalam keamanan API—yang memiliki peran di organisasi mereka dan bertanggung jawab dalam merumuskan strategi keamanan API. Kami menemukan beragam jawaban, mulai dari pengembang dan profesional jaringan, hingga pendekatan lintas organisasi.
Kami juga menanyakan beberapa detail mendalam mengenai jenis layanan keamanan yang digunakan organisasi untuk mengamankan API, seperti perlindungan DDoS, kontrol akses, mTLS, dan SSL. Kami memilih penerapan layanan ini sebagai representasi nyata dari eksekusi strategi, karena layanan ini merupakan bentuk pengaturan yang diperlukan untuk menegakkan kebijakan yang berasal dari strategi keamanan. Selanjutnya, kami melihat layanan mana yang diterapkan berdasarkan arahan dari strategi keamanan API.
Sejujurnya, kami cukup terkejut dengan hasilnya.