API Mendorong Mayoritas Lalu Lintas Internet dan Penjahat Dunia Maya Mengambil Keuntungan
Antarmuka pemrograman aplikasi (API) adalah jaringan penghubung di balik modernisasi digital, membantu aplikasi dan database bertukar data dengan lebih efektif. Keadaan Keamanan API pada tahun 2024 Laporan dari Imperva, sebuah perusahaan Thales, menemukan bahwa sebagian besar lalu lintas internet (71%) pada tahun 2023 adalah panggilan API. Terlebih lagi, situs perusahaan pada umumnya menerima rata-rata 1,5 miliar panggilan API pada tahun 2023.
Besarnya volume lalu lintas internet yang melewati API harus menjadi perhatian setiap profesional keamanan. Meskipun ada upaya terbaik untuk mengadopsi kerangka kerja shift-kiri dan proses SDLC, API sering kali masih dimasukkan ke dalam produksi sebelum dikatalogkan, diautentikasi, atau diaudit. Rata-rata, organisasi memiliki 613 titik akhir API dalam produksinya, namun jumlah tersebut terus bertambah seiring dengan meningkatnya tekanan untuk memberikan layanan digital kepada pelanggan dengan lebih cepat dan efisien. Seiring waktu, API ini dapat menjadi titik akhir yang berisiko dan rentan.
Dalam laporannya, Imperva menyimpulkan bahwa API kini menjadi vektor serangan umum bagi penjahat dunia maya karena merupakan jalur langsung untuk mengakses data sensitif. Faktanya, studi dari Marsh McLennan Cyber Risk Analytics Center menemukan bahwa insiden keamanan terkait API merugikan bisnis global sebanyak $75 miliar per tahun.
Lebih Banyak Panggilan API, Lebih Banyak Masalah#
Perbankan dan ritel online melaporkan volume panggilan API tertinggi dibandingkan industri lainnya pada tahun 2023. Kedua industri tersebut bergantung pada ekosistem API yang besar untuk memberikan layanan digital kepada pelanggan mereka. Oleh karena itu, tidak mengherankan jika layanan keuangan, termasuk perbankan, menjadi target utama serangan terkait API pada tahun 2023.
Penjahat dunia maya menggunakan berbagai metode untuk menyerang titik akhir API, tetapi salah satu vektor serangan yang umum adalah Pengambilalihan Akun (ATO). Serangan ini terjadi ketika penjahat dunia maya mengeksploitasi kerentanan dalam proses autentikasi API untuk mendapatkan akses tidak sah ke akun. Pada tahun 2023, hampir setengah (45,8%) dari seluruh serangan ATO menargetkan titik akhir API. Upaya ini seringkali dilakukan dengan otomatisasi dalam bentuk bot jahat, agen perangkat lunak yang menjalankan tugas otomatis dengan niat jahat. Jika berhasil, serangan ini dapat mengunci pelanggan dari akun mereka, memberikan data sensitif kepada penjahat, berkontribusi terhadap hilangnya pendapatan, dan meningkatkan risiko ketidakpatuhan. Mengingat nilai data yang dikelola bank dan lembaga keuangan lainnya bagi pelanggannya, ATO merupakan risiko bisnis yang memprihatinkan.
Mengapa API yang Salah Dikelola merupakan Ancaman Keamanan#
Mengurangi risiko keamanan API adalah tantangan unik yang membuat frustrasi tim keamanan paling canggih sekalipun. Masalahnya berasal dari pesatnya pengembangan perangkat lunak dan kurangnya alat dan proses yang matang untuk membantu pengembang dan tim keamanan bekerja lebih kolaboratif. Akibatnya, hampir satu dari setiap 10 API rentan terhadap serangan karena tidak digunakan lagi dengan benar, tidak dipantau, atau tidak memiliki kontrol autentikasi yang memadai.
Dalam laporannya, Imperva mengidentifikasi tiga jenis umum API endpoint yang salah dikelola yang menimbulkan risiko keamanan bagi organisasi: API bayangan, tidak digunakan lagi, dan tidak diautentikasi.
- Shadow API: Juga dikenal sebagai API yang tidak terdokumentasi atau belum ditemukan, ini adalah API yang tidak diawasi, dilupakan, dan/atau di luar visibilitas tim keamanan. Imperva memperkirakan bahwa API bayangan mencakup 4,7% dari koleksi API aktif setiap organisasi. Titik akhir ini diperkenalkan karena berbagai alasan—mulai dari tujuan pengujian perangkat lunak hingga digunakan sebagai konektor hingga layanan pihak ketiga. Masalah muncul ketika titik akhir API ini tidak dikatalogkan atau dikelola dengan benar. Dunia usaha harus waspada terhadap API bayangan karena mereka biasanya memiliki akses ke informasi sensitif, namun tidak ada yang tahu di mana mereka berada atau terhubung dengan apa. API bayangan tunggal dapat menyebabkan pelanggaran kepatuhan dan denda peraturan, atau lebih buruk lagi, penjahat dunia maya yang termotivasi akan menyalahgunakannya untuk mengakses data sensitif organisasi.
- API yang Tidak Digunakan Lagi: Penghentian penggunaan titik akhir API adalah perkembangan alami dalam siklus hidup perangkat lunak. Akibatnya, kehadiran API yang tidak digunakan lagi merupakan hal yang biasa, karena perangkat lunak diperbarui dengan cepat dan terus-menerus. Faktanya, Imperva memperkirakan bahwa API yang tidak digunakan lagi, rata-rata, merupakan 2,6% dari kumpulan API aktif suatu organisasi. Ketika titik akhir tidak digunakan lagi, layanan yang mendukung titik akhir tersebut diperbarui dan permintaan ke titik akhir yang tidak digunakan lagi akan gagal. Namun, jika layanan tidak diperbarui dan API tidak dihapus, titik akhir menjadi rentan karena tidak memiliki patching dan pembaruan perangkat lunak yang diperlukan.
- API yang tidak diautentikasi: Seringkali, API yang tidak diautentikasi muncul sebagai akibat dari kesalahan konfigurasi, kelalaian dari proses rilis yang terburu-buru, atau relaksasi dari proses autentikasi yang kaku untuk mengakomodasi perangkat lunak versi lama. API ini rata-rata menyumbang 3,4% dari kumpulan API aktif suatu organisasi. Keberadaan API yang tidak diautentikasi menimbulkan risiko yang signifikan bagi organisasi karena dapat mengekspos data atau fungsi sensitif kepada pengguna yang tidak berwenang dan menyebabkan pelanggaran data atau manipulasi sistem.
Untuk memitigasi berbagai risiko keamanan yang ditimbulkan oleh API yang salah dikelola, disarankan untuk melakukan audit rutin untuk mengidentifikasi titik akhir API yang tidak dipantau atau tidak diautentikasi. Pemantauan berkelanjutan dapat membantu mendeteksi segala upaya untuk mengeksploitasi kerentanan yang terkait dengan titik akhir ini. Selain itu, pengembang harus memperbarui dan meningkatkan API secara rutin untuk memastikan bahwa titik akhir yang tidak digunakan lagi diganti dengan alternatif yang lebih aman.
Cara Melindungi API Anda#
Imperva menawarkan beberapa rekomendasi untuk membantu organisasi meningkatkan kondisi Keamanan API mereka:
- Temukan, klasifikasikan, dan inventarisasi semua API, titik akhir, parameter, dan muatan. Gunakan penemuan berkelanjutan untuk menjaga inventaris API selalu terkini dan mengungkapkan paparan data sensitif.
- Identifikasi dan lindungi API yang sensitif dan berisiko tinggi. Lakukan penilaian risiko yang secara khusus menargetkan titik akhir API yang rentan terhadap Otorisasi dan Otentikasi yang Rusak serta Paparan Data Berlebihan.
- Membangun sistem pemantauan yang kuat untuk titik akhir API guna mendeteksi dan menganalisis perilaku mencurigakan dan pola akses secara aktif.
- Mengadopsi pendekatan Keamanan API yang mengintegrasikan Web Application Firewall (WAF), Perlindungan API, pencegahan Penolakan Layanan Terdistribusi (DDoS), dan Perlindungan Bot. Berbagai pilihan mitigasi yang komprehensif menawarkan fleksibilitas dan perlindungan tingkat lanjut terhadap ancaman API yang semakin canggih—seperti serangan logika bisnis , yang sangat sulit untuk dilawan karena serangan tersebut unik untuk setiap API.