Serangan Distributed Denial of Services (DDoS), yang bertujuan untuk membuat API tidak dapat diakses oleh pengguna, juga semakin marak. Padahal, API ada di balik berbagai aplikasi yang dimanfaatkan masyarakat untuk melakukan aktivitas sehari-hari, seperti memesan taksi, membeli tiket film, membayar makan siang, membeli tiket kereta, dan sebagainya, yang menjadikannya sasaran empuk bagi serangan.
Shadow API, Risiko yang Terabaikan
Di tengah meningkatnya ancaman terhadap API, ada faktor lain yang memperburuk kerentanannya. Salah satu vektor serangan yang kerap terlupakan adalah shadow API, yaitu API yang tidak dikelola dengan baik dan sering kali tidak terdeteksi. Menurut sebuah studi di tahun 2022, sekitar 30% dari API yang ada saat ini adalah shadow API.
Kebutuhan bisnis untuk menghasilkan fitur dan layanan baru, berinovasi dengan lebih cepat menjadi penyebab shadow API berkembang tak terkendali. Menurut Reuben Koh, perusahaan dan organisasi menciptakan lebih banyak API daripada yang dapat mereka kelola. API dibuat dan diterapkan dengan cepat untuk memenuhi tenggat waktu, tetapi kemudian terlupakan atau diabaikan.
Hal ini menciptakan blind spot dalam infrastruktur keamanan perusahaan. "Jika API tersebut ditemukan oleh penyerang dan digunakan sebagai titik masuk (entry point), Anda tidak akan mengetahuinya karena itu berada di blind spot Anda," jelasnya. API yang tidak dipantau dan tidak terdokumentasi ini menimbulkan risiko besar karena data sensitif, seperti data pembayaran atau keuangan, dapat diproses tanpa ada yang menyadarinya.
API Adalah Kunci Bagi AI
Lantas bagaimana peran API di era kecerdasan buatan (AI)? Reuben Koh menjelaskan bahwa API adalah kunci bagi AI untuk berinteraksi dengan dunia nyata dan mencapai tujuannya. Namun, ada risiko keamanan yang mengintai di sana, yaitu kerentanan (vulnerability) yang muncul saat pengembangan API untuk model AI.
“Kita perlu memastikan bahwa API itu sendiri bebas dari kerentanannya, karena jika tidak, celah keamanan ini dapat dieksploitasi dan berpotensi mempengaruhi model AI secara langsung,” jelas Reuben.
Selain itu, salah konfigurasi API juga bisa menjadi ancaman berbahaya bagi AI. API-nya sendiri mungkin bebas dari kerentanan, tetapi ketika terjadi salah konfigurasi, terbukalah jalan bagi serangan. “Misalnya, API yang seharusnya hanya menerima lalu lintas terenkripsi bisa dikonfigurasi untuk menerima lalu lintas yang tidak terenkripsi, yang menambah risiko model AI diserang,” jelasnya.
Ancaman lain adalah serangan DDoS yang dapat menghentikan fungsi API sehingga pada akhirnya akan menghalangi AI menyelesaikan tugasnya.
Risiko lain datang dari penggunaan API library pihak ketiga dan open source. Tak jarang pengembang ingin menghemat waktu dan memilih untuk menggunakan library yang tersedia di repository pihak ketiga atau open source, yang mungkin telah “terinfeksi malware.”
“Jika library yang terinfeksi ini digunakan untuk membangun API, maka malware tersebut secara tak sengaja akan disematkan ke dalam API saat diproduksi sehingga meningkatkan risiko tersembunyi bagi lingkungan AI,” kata Reuben.
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR