API (Application Programming Interface) - từ một công cụ, giao thức kết nối được sử dụng với mục đích là kết nối giữa các ứng dụng, dịch vụ Internet, IoT,… đến nay đã phát triển thành một trong những thành phần quan trọng để vận hành hệ thống mạng và cũng trở thành một trong những nguy cơ lớn về an toàn thông tin (ATTT) mà tổ chức, DN có thể đối mặt.
Điều đó cũng đồng nghĩa với việc, các API ngày càng quan trọng đối với DN, do đó, bất kể một lỗi thiết kế hoặc cấu hình sai có thể khiến thông tin nhạy cảm và danh tiếng của tổ chức, DN gặp rủi ro. Đó là lý do tại sao Gartner và một số công ty phân tích khác đã xác định API là biên giới mới cho tội phạm mạng cũng như lý do tại sao các nhóm bảo mật phải đặt bảo mật API trở thành ưu tiên hàng đầu.
Tuy nhiên, cùng với sức mạnh và sự phổ biến của API, nhiều tổ chức, DN cũng gặp những thách thức trong vấn đề bảo mật. Rất nhiều DN, thậm chí là đa số DN không được trang bị đầy đủ để đối mặt với các yêu cầu mới về bảo mật ứng dụng và API. Hầu hết chỉ biết được một phần API mà họ đang sử dụng và thiếu công cụ để theo dõi liên tục những API mới hoặc những API đã thay đổi do có phiên bản hoặc bản cập nhật mới.
Sự gia tăng đột biến về API, cả về số lượng và lưu lượng truy cập, đã khiến các nhóm bảo mật gặp nhiều khó khăn trong việc quan sát hiệu quả và khắc phục các lỗ hổng.
Từ thực tế đó, Filip Verloy, nhà truyền bá công nghệ khu vực châu Âu, Trung Đông và châu Phi của Công ty bảo mật API Noname Security đã đưa ra 4 cách giúp DN có thể thu hẹp lỗ hổng bảo mật API.
1. Triển khai hệ thống quản lý và nhận dạng API
Hầu hết các DN không biết họ có bao nhiêu API. Không có gì lạ khi ở nhiều tổ chức có khoảng 30% API không xác định hoặc không được quản lý. Việc không có một hệ thống quản lý API hoàn chỉnh có thể gây ra những rủi ro lớn cho các tổ chức.
Tất cả các vấn đề như cấu hình sai, hành vi đáng ngờ và tấn công mạng đều có thể xảy ra mà công ty không biết. Khi các tổ chức thiếu khả năng hiển thị các API của họ sẽ dẫn đến tình trạng thiếu thông tin chi tiết về việc có bao nhiêu API đang giao tiếp với những thông tin nhạy cảm hoặc bao nhiêu API đang giao tiếp với web mở.
Để khắc phục vấn đề này, các tổ chức, DN cần chủ động tìm và hệ thống lại tất cả các API, bao gồm cả các API cũ và giả mạo, cũng như lập danh mục tất cả dữ liệu và siêu dữ liệu của các API. Bằng cách có được một hệ thống API hoàn chỉnh, với phân loại dữ liệu và chi tiết cấu hình, các DN, tổ chức có thể xác định được các cấu hình sai và lỗ hổng bảo mật dễ bị tấn công. Từ đó, có thể bắt đầu đưa ra chiến lược và cách thức áp dụng các giải pháp bảo mật hiệu quả.
2. Thiết lập quyền sở hữu xung quanh bảo mật API
Với rất nhiều nhóm đóng vai trò trong việc tạo, sử dụng và quản lý API, không có gì ngạc nhiên khi có sự chồng chéo về việc nhóm nào chịu trách nhiệm về vấn đề bảo mật API. Khi hầu hết các DN có cấu trúc API dành riêng cho tổ chức và nhóm của họ, các cấu trúc này thường được quản lý lỏng lẻo và không được hiểu rõ.
Để giúp xác định, khắc phục và giảm thiểu các lỗ hổng bảo mật API, DN cần có cấu trúc quyền sở hữu rõ ràng về bảo mật API. Cấu trúc rõ ràng này sẽ giúp đảm bảo các lỗ hổng không vô tình bị bỏ qua và tất cả các nhóm đang hợp tác hiệu quả với nhau để loại bỏ rủi ro API.
3. Tiếp cận chủ động trong bảo mật API
Ngày nay, hầu hết các tổ chức thực hiện cách tiếp cận chủ động để bảo mật API với nhiều tường lửa ứng dụng web (WAF) và các cổng API để bảo mật các ứng dụng web cũng như quản lý các API và nội dung API. Tuy nhiên, chỉ với những công cụ này là không đủ để đạt hiệu quả một cách tối ưu trong bảo mật API. Hơn nữa, các giải pháp bảo mật truyền thống chỉ quét lưu lượng truy cập và tìm kiếm hành vi bất thường, sử dụng các mẫu tĩnh phù hợp mà không có ngữ cảnh cụ thể của API.
Để có thể bảo vệ hoàn toàn dữ liệu và môi trường số khỏi tất cả các rủi ro liên quan đến API, các tổ chức, DN nên đầu tư vào các giải pháp bảo mật API hiện đại để xác định cấu hình sai, đồng thời tận dụng các mô hình dựa trên trí tuệ nhân tạo (AI) và học máy để hiểu được cách API hoạt động trong thời gian thực.
Các nhóm phát triển cũng nên thực hiện phương pháp dịch chuyển sang trái (Shift Left - di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình), thử nghiệm trên các API để xác định và khắc phục các cấu hình sai và lỗ hổng bảo mật. Nhóm có thể thao tác thủ công các yêu cầu đối với API, chèn các chuỗi fuzzing (một kỹ thuật kiểm thử hộp đen giúp phát hiện lỗi của phần mềm) vào yêu cầu hoặc tự động hóa nó thông qua giải pháp kiểm tra bảo mật API.
4. Chọn giải pháp bảo mật API phù hợp
Với hầu hết các tổ chức bảo mật, một số nhà cung cấp đã đưa ra các giải pháp tốt nhất và mới nhất để giải quyết những rủi ro liên quan đến API. Tuy nhiên, khi chọn một giải pháp bảo mật API, các tổ chức, DN cũng cần xem xét những vấn đề sau:
Triển khai tại chỗ hoặc SaaS: Điều quan trọng là phải chọn một sản phẩm mà DN có thể triển khai tại chỗ hoặc trên đám mây. Điều này đảm bảo dữ liệu, bao gồm cả dữ liệu nhạy cảm, không rời khỏi môi trường, hoặc với tư cách là SaaS, nhóm bảo mật có thể quản lý nhiều đám mây và phiên bản từ một cổng thông tin duy nhất.
Tích hợp API dễ dàng với đám mây, WAF và các cổng kết nối: Sản phẩm phải kết nối được với cơ sở hạ tầng hiện có của tổ chức cũng như nâng cao khả năng bảo mật của các hệ thống khác, và đảm bảo không xung đột với các hệ thống hiện có của DN.
Tránh các kiến trúc dựa trên tác nhân: Các giải pháp kiến trúc ngoài băng tần cung cấp khả năng hiển thị sâu hơn và ít xung đột hơn các giải pháp truyền thống. Môi trường ưu tiên đám mây và dựa trên API thường gặp khó khăn với các giải pháp nội tuyến và kiến trúc dựa trên tác nhân là một lối tư duy kế thừa có thể gây ra nhiều vấn đề phức tạp và rủi ro.
Khi nói đến bảo mật API, việc thiếu khả năng hiển thị và quyền sở hữu cũng như phụ thuộc quá nhiều vào các giải pháp truyền thống sẽ hạn chế khả năng của DN trong việc triển khai các giải pháp bảo mật. Hiểu được những thách thức đặc biệt liên quan đến bảo mật API và có các chiến lược cũng giải pháp phù hợp để giải quyết vấn đề bảo mật API sẽ giúp DN xác định các lỗ hổng tiềm ẩn và thu hẹp các lỗ hổng bảo mật hiệu quả./.
