Penulis: Reuben Koh, Director of Security Technology & Strategy, APJ, Akamai Technologies
[Redaksi] Penerapan API telah melonjak, memberikan keuntungan besar bagi perusahaan melalui penyederhanaan proses dan peningkatan inovasi, tapi juga meningkatkan risiko serangan siber. Akamai membagikan 8 strategi kunci keamanan API.
Dalam beberapa tahun terakhir, kita sudah melihat lonjakan dalam penerapan application programming interfaces (APIs) yang pada gilirannya memberikan keuntungan besar bagi perusahaan, baik itu dari penyederhanaan proses, maupun peningkatan inovasi.
Namun, pertumbuhan ini juga ternyata membukakan kesempatan bagi penjahat siber untuk mengeksploitasi berbagai kerentanan yang ada. Laporan State of the Internet (SOTI) dari Akamai, bertajuk “Lurking in the Shadows: Attack Trends Shine Light on API Threats,” menemukan bahwa 15% dari seluruh serangan web di wilayah Asia Pasifik dan Jepang (APJ) menjadikan API sebagai target. Di tingkat global, kawasan APJ mencapai persentase tertinggi ketiga setelah Eropa, Timur Tengah, Afrika, dan Amerika Utara.
Dari sudut pandang keamanan dan manajemen risiko, data tersebut menunjukkan pentingnya menjaga API. Selain itu, hukum dan peraturan yang berlaku serta pembaruan supaya legislasi keamanan siber sejalan dengan lanskap ancaman, juga menunjukkan bahwa perlindungan API adalah sebuah keharusan.
Sayangnya, keamanan API masih membingungkan bagi para pemimpin keamanan. Itulah mengapa pemerintah, melalui Badan Siber dan Sandi Negara (BSSN), berinisiatif meluncurkan panduan pengembangan aplikasi berbasis API yang aman. Panduan ini bisa dimanfaatkan sebagai referensi oleh pengembang dan manajer TI di perusahaan swasta, maupun badan usaha milik pemerintah.
Intinya adalah mengatasi tantangan keamanan API yang kompleks membutuhkan strategi yang spesifik. Inilah delapan strategi kunci yang dapat diterapkan, dan kesalahan yang harus dihindari, saat mengembangkan strategi keamanan API yang lebih matang untuk perusahaan Anda.
1. Usahakan visibilitas API yang lengkap
Mengetahui di mana semua API Anda berada adalah langkah pertama untuk mencegah munculnya jenis serangan ini. Semakin lama API tidak teridentifikasi, semakin besar kemungkinannya menjadi target bagi penyerang.
Cara terbaik untuk mendapatkan visibilitas penuh adalah dengan memastikan bahwa platform keamanan API Anda bisa menyerap informasi dari sumber data seluas mungkin, termasuk API gateway, perangkat jaringan, solusi orkestrasi layanan mikro, penyedia cloud, dan lainnya. Visibilitas API sepenuhnya akan membantu menyelamatkan Anda dari ancaman seperti API bayangan atau zombie sebagai tempat pembocoran data API secara diam-diam menggunakan teknik serangan low-and-slow untuk mencuri data dari API sering terjadi.
2. Jangan takut dengan cloud
Web application firewalls (WAFs) menerapkan teknik berbasis signature untuk memblokir permintaan API yang tidak sah. Namun, serangan API yang berkembang seperti penyalahgunaan logika API, mengharuskan adanya lapisan perlindungan tambahan menggunakan analitik perilaku.
Memantau perilaku internal API kini semakin penting dalam rangka melindungi API yang vital bagi operasional. Penggunaan analitik perilaku yang efektif membutuhkan kelincahan dan elastisitas dari analitik trafik API berbasis cloud.
Keamanan API berbasis cloud tidak hanya menawarkan skalabilitas yang penting untuk analitik perilaku yang praktis, namun juga mempersingkat waktu untuk mendapatkan value bagi perusahaan yang ingin menghindari penerapan yang siklusnya panjang.
Platform keamanan API berbasis cloud juga harus menyediakan enkripsi data dan tokenisasi API sebelum meninggalkan premise, memastikan kerahasiaan data dan kepatuhan. Penerapan produk yang butuh waktu lama akan menguras sumber daya tim keamanan, sehingga akan menghambat kemajuan. Saat pengadopsian API menjadi lebih ekstensif, kebutuhan untuk beralih ke platform berbasis cloud akan menjadi sangat penting untuk strategi keamanan API.
3. Jadikan konteks bisnis sebagai pusat strategi
Mengidentifikasi risiko keamanan dalam API hanya awal dari upaya mengurangi permukaan serangan API. Pertanyaan pentingnya adalah: bagaimana kita bisa mendeteksi kredensial API yang tersusupi dari para mitra, bagaimana cara membongkar aktivitas pengerukan data, dan mengidentifikasi penyalahgunaan invoicing API untuk pencurian data akun.
Deteksi yang kuat akan bergantung pada pendeteksian penyimpangan perilaku yang diharapkan, karena aktivitas jahat cenderung berusaha menghindar dan mungkin tampak sah di permukaan. Memahami konteks bisnis sangat penting dalam mengenali perilaku tak sah yang mengeksploitasi akses API yang sah.
4. Jangan jadikan data jalan satu arah
Pendekatan keamanan API yang efektif antara lain mengirimkan peringatan dan peristiwa ke tool pemantauan yang dipilih untuk mengambil tindakan remediasi. Namun, kesalahan yang umum adalah menganggap peringatan ini sebagai komunikasi satu arah saja.
Analitik perilaku penggunaan API seharusnya bisa berlangsung selama berminggu-minggu supaya dapat mendeteksi serangan lambat secara akurat dan menambah konteks ke peringatan yang dihasilkan. Ini pada akhirnya memungkinkan untuk memberikan respons berbasis konteks, seperti menginformasikan tim pengembang mengenai kerentanan yang teridentifikasi dalam API atau mengotomatisasi pemblokiran di WAF untuk mencegah ancaman mencapai API.
5. Prioritaskan kolaborasi antardepartemen
Memaksimalkan keamanan API dapat dilakukan dengan menghindari kerentanan pada seluruh desain, pengembangan, dan penggelaran/deployment secara proaktif, yang membutuhkan kolaborasi seluruh tim. Mulailah dengan memberikan visibilitas kepada tim API tentang penggunaan API yang sebenarnya untuk menumbuhkan budaya yang berfokus pada keamanan di awal proses.
Pastikan manfaat di luar soal-soal keamanan akan meningkatkan efektivitas tim di samping adanya fitur-fitur keamanan inti. Pastikan pengguna yang bukan tim keamanan bisa mengakses API inventory dan informasi aktivitas, manfaatkan respons kontekstual, seperti integrasi berbagai sistem tiket seperti JIRA untuk memudahkan perbaikan keamanan.
Dengan melibatkan semua pemangku kepentingan dalam keamanan API dan memfasilitasi keterlibatan, tim bisa berkolaborasi secara efektif dan mendapatkan keuntungan bersama.
6. Jangan abaikan API pihak ketiga
Salah satu kesalahan umum dalam strategi keamanan API adalah berasumsi hanya API Anda saja yang membutuhkan perlindungan. Meskipun terlihat komprehensif, gateway API mungkin tidak memperhitungkan API bayangan atau kerentanan API pihak ketiga.
Untuk memastikan perlindungan yang kuat, integrasikan strategi keamanan API Anda dengan teknologi utama seperti API gateway dan kumpulkan informasi dari berbagai sumber termasuk perangkat jaringan, platform cloud dan tool untuk mengorkestrasi layanan mikro.
Pendekatan holistik ini memberikan pandangan lengkap mengenai permukaan serangan API dan memungkinkan Anda membuat penjagaan jadi lebih terarah untuk mengatasi kerentanan keamanan yang teridentifikasi.
7. Jangan berikan respons, maju terus!
Walaupun respons cepat terhadap peringatan itu penting, mencari ancaman secara proaktif bisa mencegah munculnya peringatan. Dengan akses ke query data, Anda bisa menguji hipotesis, mengidentifikasi hubungan, dan mendeteksi potensi ancaman sebelum memburuk.
Sebagai contoh, terdeteksinya penggunaan API yang buruk oleh salah satu mitra bisa mendorong pencarian perilaku yang sama oleh yang lain. Mitra keamanan API yang efektif menyimpan data historis di data lake, sehingga menjamin akses untuk melakukan investigasi yang mendalam. Idealnya, kemampuan query yang kuat tersedia untuk tim Anda agar secara proaktif bisa mencari ancaman tersembunyi atau apapun yang mungkin terlihatnya tidak pada tempatnya di seluruh trafik API Anda.
8. Pendekatan keamanan API sebagai siklus hidup berkelanjutan
Mengintegrasikan pengujian API ke dalam siklus hidup API akan mencegah API yang mengalami miskonfigurasi atau yang rentan mencapai produksi, sehingga mengurangi kesulitan, menghemat waktu, dan mengurangi biaya. Baik tim pengembang maupun keamanan harus mengelola living inventory API, terus menemukan dan mengawasinya untuk menghilangkan masalah-masalah seperti API bayangan, rogue, tidak terdokumentasi, zombie, orphaned dan tidak digunakan lagi. Saat dalam produksi, deteksi ancaman saat runtime, terutama yang berupa penyalahgunaan logika bisnis, sangat penting, dan bandingkan perilaku dengan pola dasar untuk mengidentifikasi kelainan.
Ketika ancaman atau anomali terdeteksi, respons otomatis seperti pemblokiran menggunakan WAF atau menginformasikan pengembang untuk memperbaiki kerentanan yang teridentifikasi secara real time seharusnya dilakukan, untuk memastikan proses loop tertutup di mana kita mengamankan API, mulai dari code hingga runtime.
Baca juga: Akamai Akuisisi Noname Security untuk Tingkatkan Solusi Keamanan API
Penulis | : | Liana Threestayanti |
Editor | : | Liana Threestayanti |
KOMENTAR