Cách kiểm soát rủi ro bảo mật API
Việc sử dụng API (giao diện lập trình ứng dụng) trong doanh nghiệp đang bùng nổ vì ngày càng nhiều doanh nghiệp bắt tay vào quá trình chuyển đổi số và tìm cách kiếm tiền bằng cách tiết lộ dữ liệu của họ cho bên ngoài thông qua các ứng dụng, trang web và các tích hợp của bên thứ ba khác.
Nhược điểm của tất cả các API đó là chúng có thể gây ra rủi ro bảo mật CNTT lớn.
“API là một rủi ro bảo mật đang gia tăng vì chúng phơi bày nhiều con đường cho tin tặc cố gắng truy cập dữ liệu của công ty”, Terry Ray, giám đốc an ninh của Imperva cảnh báo. “Để đóng cánh cửa trước những rủi ro bảo mật và bảo vệ khách hàng của mình, các công ty cần xử lý API với cùng mức độ bảo vệ mà họ cung cấp cho các ứng dụng web quan trọng đối với doanh nghiệp của mình”.
Nguồn gốc của những rủi ro do API gây ra đã được Scott Morrison, một kỹ sư lỗi lạc tại CA Technologies, giải thích một cách toàn diện trong một báo cáo về bảo mật API.
“Vấn đề với API là chúng thường cung cấp một lộ trình mô tả việc triển khai cơ bản của một ứng dụng – các chi tiết nếu không sẽ bị chôn vùi dưới các lớp chức năng của ứng dụng web”, ông nói. “Điều này có thể cung cấp cho tin tặc những manh mối có giá trị có thể dẫn đến các vectơ tấn công mà nếu không thì chúng có thể bỏ qua. API có xu hướng cực kỳ rõ ràng và tự ghi chép tốt nhất, cung cấp thông tin chi tiết về các đối tượng bên trong và thậm chí là cấu trúc cơ sở dữ liệu bên trong – tất cả đều là thông tin tình báo có giá trị đối với tin tặc”.
Morrison nói thêm rằng khả năng hiển thị tăng lên không phải là rủi ro duy nhất mà API mang lại. “Việc tăng số lượng cuộc gọi tiềm năng cũng làm tăng bề mặt tấn công, nghĩa là tin tặc có nhiều thứ để khai thác hơn.
Bảo mật API có thể bị xâm phạm như thế nào
Theo Morrison, trên thực tế, có ba cách chính (nhưng không phải là duy nhất) mà kẻ xấu có thể khai thác API để truy cập vào dữ liệu hoặc cơ sở hạ tầng máy tính.
Đó là:
- Tấn công tham số . Những cuộc tấn công này liên quan đến việc gửi dữ liệu không mong muốn để khai thác điểm yếu trong các ứng dụng và cơ sở dữ liệu. Loại tấn công tham số phổ biến nhất là tấn công tiêm SQL , có thể thành công nếu các nhà phát triển không khử trùng đầu vào. Morrison chỉ ra rằng trái ngược với nhiều ứng dụng web, API thường xác định rõ ràng cách sử dụng cơ bản của tham số theo tên của nó, giúp công việc của kẻ tấn công dễ dàng hơn nhiều.
- Tấn công danh tính. Khóa API là mã mà các ứng dụng riêng lẻ sử dụng để xác định danh tính của mình với API. Chúng được cho là bí mật và được các nhà phát triển che giấu, nhưng trên thực tế, thường rất dễ phát hiện ra chúng. Điều đó có nghĩa là các API sử dụng khóa API làm thông tin xác thực có thẩm quyền sẽ gặp rủi ro – bất kỳ ai có khóa API đều có thể sử dụng chúng để viết mã độc mạo danh một ứng dụng hợp pháp khác.
- Tấn công kiểu Man in the middle (MITM) . Những cuộc tấn công này xảy ra khi kẻ tấn công ngồi giữa API và ứng dụng/người dùng, chặn lưu lượng giữa hai bên và đôi khi mạo danh lẫn nhau. Chúng có thể xảy ra vì nhiều API không sử dụng SSL/TLS đúng cách (hoặc không sử dụng).
Ngăn chặn các cuộc tấn công API
Sau đây là một số cách mà các tổ chức có thể giảm thiểu rủi ro bảo mật API.
Mối đe dọa: Tấn công tham số
- Biện pháp khắc phục 1: Xác thực tất cả dữ liệu đầu vào
- Biện pháp giảm thiểu 2: Sử dụng phát hiện mối đe dọa, bao gồm phát hiện vi-rút
Mối đe dọa: Tấn công danh tính
- Giảm thiểu: Sử dụng các phương pháp xác thực và ủy quyền hiệu quả. Morrison khuyến nghị sử dụng các yếu tố thực tế như IP nguồn, cửa sổ thời gian truy cập, nhận dạng thiết bị (đối với ứng dụng di động) và vị trí địa lý.
Mối đe dọa: Các cuộc tấn công MITM
- Giảm thiểu: Sử dụng TLS cho tất cả các trao đổi dữ liệu
Nền tảng bảo mật API
Ba vectơ tấn công API hàng đầu không phải là lỗ hổng duy nhất gây ra rủi ro API. Để giảm thiểu các rủi ro khác mà API gây ra, nên sử dụng giải pháp bảo mật API đã được chứng minh.
Nói một cách tổng quát nhất, nền tảng bảo mật API có thể:
- Giúp phơi bày các hệ thống hồ sơ và các hệ thống và ứng dụng khác một cách an toàn thông qua API bằng cách áp dụng nhất quán các chính sách như xác thực
- Đưa lên tàu và quản lý các nhà phát triển nội bộ và bên thứ ba để họ có thể tạo ứng dụng bằng các API đó
- Cho phép các tổ chức lựa chọn ứng dụng, nhà phát triển và đối tác nào có thể truy cập vào API nào
- Giúp bảo mật dữ liệu theo các quy định tuân thủ và các yêu cầu khác
Về cơ bản, các giải pháp bảo mật API cung cấp khả năng quản lý API trong toàn bộ vòng đời của API, từ khi bắt đầu cho đến khi ngừng sử dụng.
Thị trường bảo mật API đang phát triển
Thị trường cho các sản phẩm bảo mật API có tiềm năng rất lớn. Để có ý tưởng về quy mô sử dụng API, hãy xem xét các số liệu thống kê sau: 69% các tổ chức đang cung cấp API cho khách hàng và đối tác của họ, theo cuộc thăm dò của Imperva đối với 250 chuyên gia CNTT và trung bình mỗi tổ chức đang quản lý 363 API khác nhau.
Không có gì ngạc nhiên khi doanh số bán sản phẩm bảo mật API đang tăng nhanh chóng khi các tổ chức ngày càng thấy nhu cầu bảo vệ các hoạt động liên quan đến API của họ. Theo Gartner, năm 2017, thị trường này có giá trị 961 triệu đô la và dự kiến sẽ vượt quá 1 tỷ đô la vào cuối năm 2018. Từ năm 2016 đến năm 2021, Gartner dự kiến thị trường sẽ tăng trưởng với tốc độ tăng trưởng kép hàng năm là gần 15 phần trăm.
Nhiều sản phẩm bảo mật API thực chất là các sản phẩm quản lý API giúp tập trung hóa các API và cho phép áp dụng các chính sách bảo mật và các chính sách khác theo cách có hệ thống và thống nhất.
Chúng cũng có thể giúp tránh sự lan tràn API không kiểm soát, xảy ra khi API được tạo ra ở các bộ phận khác nhau của tổ chức bởi các nhóm nhà phát triển khác nhau, mà không có bất kỳ cách tiếp cận nhất quán nào đối với bảo mật. Chúng cũng có thể giúp ngăn chặn API bị bỏ rơi và lãng quên thay vì ngừng hoạt động một cách an toàn.
Nhà cung cấp và sản phẩm nền tảng bảo mật API
Thị trường sản phẩm bảo mật API đang ngày càng phát triển và nhiều công ty nhỏ đã được các công ty lớn hơn mua lại: Apigee được Google mua lại, Apiary được Oracly mua lại, Akana được Rogue Wave mua lại, 3scale được Red Hat mua lại và MuleSoft được Salesforce mua lại.
Mặc dù bảo mật API vẫn được bán như một giải pháp tại chỗ, nhưng nó cũng ngày càng có sẵn như một phần của dịch vụ đám mây từ các công ty như Amazon, Google và Microsoft.
Theo Báo cáo Magic Quadrant năm 2018 của Gartner về Quản lý API toàn vòng đời , các sản phẩm hàng đầu hiện nay bao gồm:
- Google Apigee
- Quản lý API Axway AMPLIFY
- Công nghệ CA Quản lý API CA
- IBM IBM API Kết nối
- Phần mềm AG webMethods Nền tảng quản lý API
- Nền tảng Salesforce Mulesoft Anypoint
Tại Việt Nam, giải pháp quản lý API của hãng Bảo mật Axway do Lac Hong Tech cung cấp hiện đang được nhiều doanh nghiệp sử dụng. Để được tư vấn và hỗ trợ trực tiếp về các giải pháp bảo vệ API hãy liên hệ số Tổng đài: 1900 68 24.
Giải pháp quản lý API của hãng Bảo mật Axway
Giải pháp quản lý API của Axway, được biết đến với tên gọi Amplify API Management (hoặc Axway API Management), là một nền tảng toàn diện cho phép các doanh nghiệp quản lý chu kỳ sống của API từ thiết kế đến triển khai và quản lý sau này. Nền tảng này cung cấp các công cụ mạnh mẽ để đảm bảo an ninh, kiểm soát quyền truy cập, và phân tích sử dụng API, giúp các tổ chức tối ưu hóa tài nguyên và nâng cao hiệu quả hoạt động.
Axway API Management hỗ trợ một giao diện người dùng trực quan, cho phép các nhà phát triển dễ dàng tìm hiểu và sử dụng các API, với khả năng tích hợp các tài liệu một cách mượt mà vào quá trình phát triển. Nền tảng này cũng cho phép triển khai linh hoạt, có thể được cài đặt trên cơ sở hạ tầng đám mây hoặc tại chỗ, đáp ứng nhu cầu cụ thể của mỗi tổ chức.
Một trong những điểm mạnh của giải pháp Axway API Management là khả năng mở rộng và kiểm soát tập trung, đặc biệt là trong việc đảm bảo an ninh. Axway API Management cung cấp các tiêu chuẩn bảo mật và hiệu suất cao, cho phép các doanh nghiệp duy trì một môi trường API an toàn và đáng tin cậy. Các tính năng bảo mật của giải pháp bao gồm việc quản lý chặt chẽ quyền truy cập và khả năng phát hiện cũng như phản ứng với các mối đe dọa an ninh một cách nhanh chóng.
Giải pháp này cũng hỗ trợ tích hợp các giao thức bảo mật tiên tiến như OAuth và JWT, giúp bảo vệ dữ liệu và thông tin người dùng trong quá trình truyền tải qua API. Bên cạnh đó, việc cung cấp một cổng thông tin nhà phát triển rõ ràng và bảo mật giúp ngăn chặn sự truy cập trái phép và đảm bảo rằng chỉ những người dùng ủy quyền mới có thể truy cập vào các chức năng quan trọng.
Thông qua việc triển khai các chính sách và quy trình kiểm soát chặt chẽ, Axway API Management giúp các tổ chức bảo vệ mình khỏi các nguy cơ tiềm ẩn và tận dụng lợi thế của API mà không phải lo lắng về các vấn đề an ninh. Điều này không những giúp duy trì tính bảo mật và hiệu suất mà còn tạo ra một môi trường an toàn cho việc chia sẻ và sử dụng API.
Vào năm 2021, giải pháp Axway API Management được định vị là giải pháp API Management dẫn đầu trong Magic Quadrant, theo đánh giá của Garthner.
Hiện Lac Hong Tech là đơn vị cung cấp, triển khai trực tiếp giải pháp Axway API Management tại Việt Nam.