Bangun! Identifikasi Kerentanan API Secara Proaktif, Dari Produksi Kembali ke Kode

  • Whatsapp
Keamanan API

Setelah lebih dari 20 tahun dalam pembuatan, sekarang resmi: API ada di mana-mana. Dalam survei tahun 2021, 73% perusahaan melaporkan bahwa mereka telah menerbitkan lebih dari 50 API, dan jumlah ini terus bertambah.

API memiliki peran penting untuk dimainkan di hampir setiap industri saat ini, dan pentingnya terus meningkat, saat mereka bergerak ke garis depan strategi bisnis. Ini tidak mengejutkan: API menghubungkan aplikasi dan perangkat yang berbeda dengan mulus, menghadirkan sinergi dan efisiensi bisnis yang belum pernah disaksikan sebelumnya.

Bacaan Lainnya

Namun, API memiliki kerentanan sama seperti komponen perangkat lunak lainnya. Selain itu, jika mereka tidak diuji secara ketat dari sudut pandang keamanan, mereka juga dapat memperkenalkan serangkaian permukaan serangan yang sama sekali baru dan membuat Anda menghadapi risiko yang belum pernah terjadi sebelumnya. Jika Anda menunggu hingga produksi untuk menemukan kerentanan API, Anda dapat mengalami penundaan yang substansial.

API menarik bagi penyerang, bukan hanya bisnis

Ingatlah bahwa API melakukan lebih dari sekadar menghubungkan aplikasi Anda; mereka mengubah fungsionalitas dengan cara yang tidak terduga. Banyak kelemahan unik yang mungkin diperkenalkan oleh API sudah diketahui oleh peretas, yang telah mengembangkan berbagai metode untuk menyerang API Anda guna mengakses data dan fungsionalitas yang mendasarinya.

Menurut 10 Teratas API OWASP, tidak jarang bagi pengguna yang sah dan diautentikasi untuk mengeksploitasi API dengan memanfaatkan panggilan yang tampak sah tetapi sebenarnya dimaksudkan untuk memanipulasi API. Serangan semacam ini, bertujuan untuk memanipulasi logika bisnis dan mengeksploitasi kelemahan desain, menarik bagi penyerang.

Anda lihat, setiap API unik dan eksklusif. Dengan demikian, bug dan kerentanan perangkat lunaknya juga unik dan “tidak diketahui”. Jenis bug yang menyebabkan serangan pada logika bisnis atau tingkat proses bisnis sangat menantang untuk diidentifikasi sebagai pembela.

Keamanan API

Apakah Anda memberi cukup perhatian pada pengujian keamanan API?

Keamanan shift-kiri sudah diterima secara luas di banyak organisasi, memungkinkan pengujian berkelanjutan selama pengembangan. Pengujian keamanan API, bagaimanapun, sering gagal atau dilakukan tanpa pemahaman yang memadai tentang risiko yang terlibat. Mengapa demikian? Nah, ada lebih dari satu alasan:

  1. Alat pengujian keamanan aplikasi yang ada bersifat umum dan ditujukan untuk kerentanan aplikasi web tradisional, dan tidak dapat menangani kerumitan logika bisnis API secara efektif.
  2. Karena API tidak memiliki UI, biasanya perusahaan menguji web, aplikasi, dan seluler secara terpisah – tetapi bukan API itu sendiri.
  3. Pengujian API bisa intensif secara manual dan tidak dapat diskalakan jika Anda memiliki ratusan.
  4. Pengalaman dan keahlian yang relevan mungkin terbatas, karena pengujian API lebih rumit daripada jenis pengujian lainnya
  5. Dengan API lawas, Anda mungkin tidak tahu tentang API yang sudah diterapkan atau dokumentasinya.

Jadi, sementara keamanan shift-kiri sudah dihargai oleh banyak organisasi secara umum, pengujian keamanan API terlalu sering diabaikan dari gambaran besar DevSecOps.

Ini sangat disayangkan, karena kerentanan API membutuhkan waktu lebih lama untuk diperbaiki daripada kerentanan aplikasi tradisional – dalam survei baru-baru ini, 63% responden melaporkan bahwa perlu waktu lebih lama untuk memulihkan kerentanan API. Jumlah ini juga kemungkinan akan meningkat mengingat adopsi dan ketergantungan aplikasi yang cepat pada API.

Keamanan API

Sementara sebagian besar pemimpin keamanan menyadari pentingnya pengujian keamanan API, hanya di bawah setengah mengatakan mereka belum memiliki solusi pengujian keamanan API sepenuhnya terintegrasi ke dalam pipa pengembangan mereka.

Pelajari lebih lanjut tentang cara mencegah serangan dengan mengidentifikasi kerentanan secara proaktif, mulai dari produksi hingga kode.

Mengapa pendekatan pengujian keamanan umum gagal mencakup API?

Sebagai langkah pertama menuju pendekatan yang komprehensif, penting untuk memeriksa sikap paling umum terhadap pengujian keamanan aplikasi saat ini: pengujian keamanan statis dan pengujian keamanan dinamis.

Pengujian keamanan statis mengambil pendekatan kotak putih, membuat pengujian berdasarkan fungsionalitas aplikasi yang diketahui dengan meninjau desain, arsitektur, atau kode, termasuk banyak jalur kompleks yang dapat diambil data saat melewati aplikasi.

Pengujian keamanan dinamis mengambil pendekatan kotak hitam, membuat tes berdasarkan kinerja yang diharapkan dari aplikasi yang diberikan serangkaian input tertentu, mengabaikan pemrosesan internal atau pengetahuan tentang kode yang mendasarinya.

Ketika datang ke API, pengembang dan tim keamanan sering berdebat tentang mana dari dua metode yang paling tepat, dengan alasan utama yang mendukung masing-masing:

  • Pengujian statis adalah satu-satunya metode yang masuk akal: karena tidak ada antarmuka pengguna untuk API, Anda harus tahu apa yang terjadi di dalam logika bisnis.
  • Hanya pengujian dinamis yang diperlukan, karena pengujian unit menggunakan model statis dan telah diselesaikan pada tahap awal pipeline.

Maaf merusak pesta, tetapi kedua poin ini hanya sebagian benar. Faktanya, kedua pendekatan tersebut diperlukan untuk memastikan cakupan yang luas dan menangani berbagai kemungkinan skenario. Terutama dengan meningkatnya serangan berbasis API saat ini, Anda tidak dapat mengambil risiko dalam hal skalabilitas, kedalaman, dan frekuensi.

Keamanan API

Pengujian keamanan API ‘kotak abu-abu’ mungkin menawarkan alternatif yang menarik. Karena tidak ada antarmuka pengguna, memiliki pengetahuan tentang cara kerja internal aplikasi (misalnya, parameter, jenis pengembalian) dapat membantu Anda membuat pengujian fungsional yang berfokus pada logika bisnis secara efisien.

Idealnya, menggabungkan aspek pengujian keamanan API akan membuat Anda lebih dekat untuk membuat solusi kotak abu-abu yang mengkompensasi kelemahan masing-masing pendekatan individual ini. Pendekatan logika bisnis semacam itu akan secara cerdas memeriksa hasil jenis pengujian lain dan dapat beradaptasi untuk menerapkan pengujian yang ditingkatkan, baik secara otomatis maupun manual.

Saatnya untuk Pendekatan Pengujian Keamanan API Logika Bisnis

Ada kesadaran industri yang berkembang seputar kebutuhan untuk mengamankan API di seluruh siklus hidupnya, menempatkan API di depan dan di tengah dalam kontrol keamanan Anda.

Untuk melakukannya, Anda harus menemukan cara untuk menyederhanakan dan merampingkan pengujian keamanan API organisasi Anda, mengintegrasikan dan menerapkan standar pengujian keamanan API dalam siklus pengembangan. Dengan cara ini, bersama dengan pemantauan runtime, tim keamanan dapat memperoleh visibilitas ke semua kerentanan yang diketahui di satu tempat. Sebagai bonus, mengambil langkah-langkah untuk pengujian keamanan API shift-kiri akan memangkas biaya dan mempercepat waktu untuk perbaikan.

Selain itu, setelah alur kerja pengujian Anda diotomatisasi, Anda juga akan memiliki dukungan bawaan untuk pengujian ulang: siklus pengujian, pemulihan, pengujian ulang, dan penerapan, menjaga saluran pipa Anda berjalan dengan lancar dan menghindari kemacetan sama sekali.

Pendekatan logika bisnis untuk pengujian keamanan API dapat meningkatkan kematangan program Keamanan API Siklus Hidup Penuh Anda, dan meningkatkan postur keamanan Anda.

Keamanan API

Namun, pendekatan modern ini memerlukan alat yang dapat belajar sambil berjalan, meningkatkan kinerjanya dari waktu ke waktu dengan menyerap data waktu proses untuk mendapatkan wawasan tentang struktur dan logika aplikasi.

Ini akan melibatkan pembuatan mesin uji adaptif yang dapat belajar sambil berjalan, mengembangkan pengetahuan yang lebih dalam tentang perilaku API untuk merekayasa balik cara kerja bagian dalamnya yang tersembunyi secara cerdas. Menggunakan data runtime dan informasi logika bisnis, Anda dapat menikmati yang terbaik dari kedua dunia – pendekatan kotak hitam dan putih menuju peningkatan visibilitas dan kontrol dengan otomatisasi.

Pelajari lebih lanjut tentang cara mencegah serangan dengan mengidentifikasi kerentanan secara proaktif, mulai dari produksi hingga kode.

Untuk menyelesaikan

Selain popularitasnya yang meningkat, API juga menciptakan kerentanan yang lebih besar untuk aplikasi web. Sejumlah besar organisasi bahkan tidak tahu sejauh mana API dan kerentanan mereka. Kelemahan yang diketahui dan tidak diketahui dapat dengan mudah diselidiki oleh peretas melalui API yang tersedia.

Namun, pengujian keamanan API sering diabaikan dan ditangani sama seperti aplikasi web. Sebagian besar pendekatan pengujian, seperti pengujian kotak hitam dan kotak putih, tidak kondusif untuk pengujian API.

Kombinasi pemrosesan bahasa alami dan kecerdasan buatan (AI) menawarkan opsi “kotak abu-abu” yang dapat mengotomatiskan, menskalakan, dan menyederhanakan proses kompleks pengujian keamanan API.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *