Oleh: Lori MacVittie, Distinguished Engineer, F5
[Redaksi]: API juga semakin menjadi incaran para kriminal dunia maya sehingga membutuhkan pengamanan yang lebih komprehensif. Sebelum sampai pada strategi keamanan itu sendiri, siapa yang seharusnya bertanggung jawab akan keamanan API?
Data.ai menempatkan Indonesia di posisi kelima di dunia dalam hal jumlah aplikasi mobile yang diunduh yaitu sebesar 7,56 miliar di tahun 2023. Tren ini mendorong pertumbuhan Application Programming Interface (API).
Namun permasalahannya adalah pertumbuhan ini juga diikuti peningkatan serangan siber yang membidik API. Analisis kami menemukan bahwa 90% serangan siber berbasis web menargetkan API endpoints untuk mengeksploitasi kerentanan yang sering kali tidak dipantau secara aktif oleh tim keamanan.
Situasi ini tentu saja membutuhkan strategi keamanan API yang tangguh. Namun, siapa yang seharusnya mengarahkan strategi keamanan API Anda? Setidaknya ada tiga jawaban yang baik dan beberapa jawaban yang kurang tepat.
Perencanaan strategi, terutama yang berkaitan dengan teknologi, sering kali menjadi tanggung jawab eksekutif. Sementara strategi yang berhubungan dengan keamanan biasanya menjadi tanggung jawab CISO (Chief Information Security Officer). Atau, jika tidak ada peran tersebut, CIO (Chief Information Officer) lah yang bertanggung jawab atas hal tersebut.
Namun beberapa perusahaan mendelegasikan tanggung jawab perencanaan strategi keamanan API itu ke role lain di perusahaan. Para developer, SRE (Site Reliability Engineering), dan bahkan pekerja profesional jaringan bisa jadi memiliki strategi untuk mengamankan API saat ini.
Hal tersebut dilakukan mungkin karena tidak ada penelitian yang riil mengenai hasil dari keputusan seperti itu. Lagipula, ada alasan bagus bagi developer untuk menjalankan strategi keamanan API, sama seperti ada alasan bagus untuk memberikan tanggung jawab tersebut kepada orang-orang yang bersentuhan dengan API, entah selama proses pengembangan, pengujian, atau produksi.
Dalam penelitian terbaru F5 yang mempelajari keamanan API, kami menanyakan kepada setiap responden—individu-individu pengambil keputusan dalam keamanan API—yang memiliki peran di organisasi mereka dan bertanggung jawab dalam merumuskan strategi keamanan API. Kami menemukan beragam jawaban, mulai dari pengembang dan profesional jaringan, hingga pendekatan lintas organisasi.
Kami juga menanyakan beberapa detail mendalam mengenai jenis layanan keamanan yang digunakan organisasi untuk mengamankan API, seperti perlindungan DDoS, kontrol akses, mTLS, dan SSL. Kami memilih penerapan layanan ini sebagai representasi nyata dari eksekusi strategi, karena layanan ini merupakan bentuk pengaturan yang diperlukan untuk menegakkan kebijakan yang berasal dari strategi keamanan. Selanjutnya, kami melihat layanan mana yang diterapkan berdasarkan arahan dari strategi keamanan API.
Sejujurnya, kami cukup terkejut dengan hasilnya.
Ternyata, penerapan suatu layanan dapat menjadi sangat komprehensif ketika strategi keamanan API menjadi tanggung jawab lintas organisasi, serta didukung oleh keseluruhan Tim Security dan CIO/CISO.
Yang mungkin lebih mengkhawatirkan adalah ketika SRE (Site Reliability Engineers), individu yang mengarahkan strategi keamanan, tidak memasukkan keamanan API ke dalam tahap pengujian dalam lifecycle API. Ketika keputusan untuk memilih strategi keamanan API dibuat, integrasi keamanan API umumnya baru dimulai pada tahap desain atau development. Begitu pun ketika tim jaringan diberi tanggung jawab akan strategi keamanan API, mereka mengatakan keamanan API harus masuk pada fase development.
Berita baiknya adalah sebagian besar perusahaan memberikan tanggung jawab untuk menentukan strategi keamanan API kepada salah satu dari ketiga pihak tersebut. Sebanyak 8% memberikan tanggung jawab tersebut kepada developer, sebanyak 3% berharap profesional jaringan untuk mengatasinya, dan hanya 1% yang memberikan tugas ini kepada SRE.
Hal ini sejalan dengan domain penugasan keamanan API. Karena keputusan tersebut sebagian besar dipengaruhi oleh pihak yang menjalankan strategi itu. Ketika strategi keamanan API dijalankan oleh CIO/CISO atau lintas organisasi, keamanan API didistribusikan ke empat domain: manajemen API, keamanan aplikasi, jaringan, dan keamanan tapi terpisah dari keamanan aplikasi. Karena layanan yang mempertahankan dan melindungi API bisa mencakup beberapa domain, hal ini menjadi masuk akal.
Jadi, jika perusahaan Anda menugaskan strategi keamanan API kepada CIO/CISO, tim Keamanan, atau menjadikannya sebagai tanggung jawab lintas organisasi, selamat! Pendekatan strategis Anda mengarah pada kontrol keamanan yang komprehensif melalui layanan keamanan yang mempertahankan dan melindungi API dari berbagai jenis serangan.
Baca juga: F5 Perkenalkan Solusi AI Gateway Kelola Trafik dan Keamanan Aplikasi
Baca juga: Ancaman API Makin Marak di Era AI, Akamai: Perhatikan 4 Area Ini
Penulis | : | Liana Threestayanti |
Editor | : | Liana Threestayanti |
KOMENTAR