Memikirkan Kembali Keamanan Aplikasi di Era Pertama API

  • Whatsapp
Keamanan Aplikasi

Mengamankan aplikasi di era pertama API bisa menjadi perjuangan yang berat. Seiring dengan percepatan pembangunan, akuntabilitas menjadi tidak jelas, dan menjalankan kontrol menjadi tantangan tersendiri. Saatnya kami memikirkan kembali strategi keamanan aplikasi kami untuk mencerminkan prioritas, prinsip, dan proses baru di era pertama API. Mengamankan aplikasi masa depan dimulai dengan menilai risiko bisnis hari ini.

Tren dan risiko yang membentuk aplikasi saat ini

Karena dunia terus menjadi semakin terhubung melalui perangkat — dan API yang menghubungkannya — individu semakin terbiasa dengan pengalaman tanpa gesekan yang mereka berikan. Sementara kenyataan tanpa gesekan ini tidak diragukan lagi lebih ramah pengguna, yaitu lebih cepat dan lebih nyaman, ini juga membutuhkan pertukaran. Kenyamanan ini menuntut keterbukaan, dan keterbukaan adalah risiko dalam hal keamanan siber.

Bacaan Lainnya

Berdasarkan Sidney Gottesman, SVP Mastercard untuk Inovasi Keamanan, situasi di atas mengarah ke salah satu tren terbesar yang membentuk postur keamanan untuk aplikasi saat ini: A krisis kepercayaan antara individu dan aplikasi yang mereka gunakan.

Tren utama kedua adalah tren rantai pasokan. Menangani risiko Anda sendiri saja tidak cukup, karena serangan semakin menembus sistem internal melalui pihak ketiga, komponen yang dipasok vendor. Dalam produk digital dan bahkan produk perangkat keras yang terhubung, rantai pasokan kini terdiri dari berbagai layanan yang digabungkan bersama dalam produk akhir melalui API, menciptakan jenis risiko integrasi baru yang berakar pada rantai pasokan.

Jika Pipa Kolonial baru-baru ini dan JBS serangan menunjukkan apa pun, itu tren utama lainnya adalah is banyak aktor jahat, baik di tingkat individu maupun negara. Bisnis sekarang harus berasumsi bahwa lebih cepat, daripada nanti, mereka akan diserang dan harus siap.

Kelimpahan data tidak bisa diabaikan. Perusahaan menyimpan, mengelola, dan memungkinkan akses ke begitu banyak data, membuat lapisan aplikasi (dan API) lebih menarik bagi penyerang. meningkat peraturan bertujuan untuk meningkatkan postur keamanan baik perusahaan publik dan swasta juga mendapatkan tempat khusus dalam lanskap tren keamanan.

Keamanan aplikasi tidak seperti dulu

80% perusahaan saat ini mengizinkan akses eksternal ke data dan fungsionalitas melalui API, menurut survei industri baru-baru ini yang diterbitkan oleh Imvision, melihat keadaan penggunaan dan adopsi API saat ini di antara perusahaan terkemuka. Hasilnya sejalan dengan penelitian lain tentang topik tersebut dan menyimpulkan bahwa perusahaan jauh lebih terbuka daripada beberapa tahun lalu – dan terus berkembang.

Tetapi ini berarti bahwa keamanan aplikasi telah melampaui status “penjaga pintu” dengan menanyakan “siapa yang diizinkan masuk?” Saat ini, keamanan aplikasi harus mengasumsikan bahwa pengguna sudah berada di dalam aplikasi dan fokus pada pertanyaan, “apa yang kami izinkan untuk mereka lakukan?”, “apa penggunaan yang diharapkan?” dan “bagaimana kita menghentikan perilaku yang tidak diinginkan?”.

Berdasarkan Rob Cuddy, Penginjil Keamanan Aplikasi Global di HCL, perubahan mendasar yang harus dilakukan perusahaan dalam pendekatan mereka terhadap keamanan aplikasi adalah mengamankan perimeter aplikasi dari penetrasi eksternal sama sekali tidak masuk akal di era API.

Membangun lapisan keamanan di sekitar aplikasi tidak akan berfungsi saat aplikasi diekspos melalui API. Sebagai gantinya, yang baru pendekatan dari dalam ke luar diperlukan. Pendekatan baru ini mengasumsikan penetrasi aplikasi dalam layanan pengguna, tetapi menerapkan mekanisme perlindungan jika pelakunya jahat.

Pelajari lebih lanjut tentang bagaimana profesional keamanan memikirkan kembali keamanan aplikasi

Jika Anda bertanya kepada pengembang, mereka akan memberi tahu Anda bahwa keamanan ada selama ini, tetapi sekarang menjadi kritis. Namun, ini bukan masalah penambahan alat atau otomatisasi baru, melainkan masalah membuat perubahan mendasar pada orang, proses, dan budaya.

Dalam perlombaan untuk pengiriman gesit super cepat, banyak perusahaan mengadopsi pendekatan DevSecOps yang mengamanatkan integrasi praktik keamanan dalam siklus hidup pengembangan. Tetapi sementara banyak yang berbicara tentang melakukannya, hanya sekitar setengah yang benar-benar melakukan sesuatu tentang hal itu – artinya, sebenarnya memiliki keamanan API siklus hidup penuh di tempat.

Mengelola keamanan di antara tim yang berbeda bukanlah tugas yang mudah

Di Allegiant Airlines, Chief Information Security Officer Rob Hornbuckle memimpin inisiatif menarik untuk meningkatkan kesadaran, visibilitas, dan kolaborasi di seluruh tim dan siklus hidup pengembangan.

Untuk mengembangkan dan memelihara aplikasi yang menghadap pelanggan, mereka memiliki 10 tim pengembangan yang gigih pada waktu tertentu. Namun, mengatur keamanan di antara tim yang berbeda bukanlah hal yang mudah. Ini membutuhkan visibilitas substansial dan perubahan budaya yang mendorong inisiatif dan pengambilan tanggung jawab.

Untuk menjaga keamanan di garis depan, mereka membentuk program juara keamanan yang menempatkan dua orang di setiap tim dengan tanggung jawab untuk memastikan standar keamanan tertentu selama pengembangan. Para juara ini membantu anggota tim lainnya mendorong pengetahuan dan komunikasi di seluruh sistem.

Program ini memberdayakan visibilitas ke keamanan aplikasi di tingkat organisasi melalui pertemuan bulanan yang berfokus pada segala sesuatu yang terjadi dengan keamanan dalam kelompok pemrograman aplikasi yang berbeda. Pertemuan-pertemuan ini memungkinkan organisasi untuk memberikan metrik mengenai kesehatan keamanan keseluruhan yang dicapai oleh tim yang berbeda dari waktu ke waktu untuk membantu mendapatkan dukungan dari eksekutif senior dan anggota dewan.

Visibilitas, atau: “Mampu mengidentifikasi apa yang perlu diperbaiki terlebih dahulu”

Dengan banyak perusahaan yang menggunakan lusinan, jika bukan ratusan atau lebih, alat keamanan berbeda yang menangani sistem yang berbeda, CISO ditantang untuk memahami apa yang sangat penting, sehingga mereka dapat secara efektif memprioritaskan kerentanan untuk mengurangi risiko.

Tetapi hanya karena server tidak ditambal tidak berarti itu menimbulkan risiko bisnis yang sebenarnya. Apa yang dibutuhkan tidak hanya visibilitas ke dalam kerentanan, tetapi lebih ke eksposur yang diciptakannya dan potensi dampak bisnis jika terjadi pelanggaran.

Untuk benar-benar dapat mengaitkan risiko bisnis dengan kerentanan, Rob Hornbuckle percaya bahwa manajemen eksekutif membutuhkan pemahaman yang kuat tentang pemrograman aplikasi, serta pengetahuan yang hebat tentang cara kerja bagian dalam model bisnis organisasi. Hal ini memungkinkan mereka untuk memprioritaskan mitigasi sesuai dengan dampak bisnis sebenarnya dari potensi pelanggaran pada model bisnis unik mereka.

Bahkan jika kerentanan tertentu dapat mengganggu operasi di Colonial Pipeline, misalnya, itu tidak berarti bahwa kerentanan yang sama memiliki risiko apa pun untuk keuntungan organisasi lain, terutama jika model bisnis mereka berbeda. Aset paling penting untuk dilindungi adalah layanan dan aplikasi yang mengekspos fungsi bisnis penting.

Mengembangkan pandangan risiko aplikasi dalam konteks manajemen risiko perusahaan

Menggalang organisasi di seputar keamanan bukanlah tugas yang mudah, terutama ketika masukan mereka – sama berharga dan pentingnya – sering kali membuat penundaan dan menambah pekerjaan bagi tim pengembangan yang tergesa-gesa. Memastikan bahwa semua tingkatan organisasi memahami pentingnya tim keamanan adalah langkah penting dalam menerapkan proses pengembangan yang aman.

Di BNP Paribas, Global Head of Technology Risk Intelligence Sandip Wadje menunjukkan bahwa memudahkan organisasi untuk memahami seberapa besar permukaan serangan internal dan eksternal mereka dan secara tepat fungsi bisnis penting mana yang terekspos, adalah yang terpenting.

Langkah pertama adalah penemuan – mengetahui apa yang Anda miliki, bagaimana itu digunakan, mengapa itu ada. Meskipun langkah ini cukup mudah, pada langkah kedua, pemerintahan, perusahaan harus berusaha memahami langkah mana yang mereka ambil dalam hal pengembangan aplikasi, pemeliharaan, dan pemantauan berkelanjutan. Organisasi harus memastikan bahwa mereka memiliki komite tata kelola terpusat atau tim risiko teknologi pihak ketiga untuk mengawasi langkah-langkah keamanan internal organisasi.

Tahap ketiga adalah jaminan mengenai langkah-langkah keamanan yang sedang berlangsung. Pemantauan keamanan berkelanjutan yang terus-menerus menganalisis kerentanan baru saat ditemukan secara signifikan mengurangi risiko, karena kerentanan yang dieksploitasi seringkali tidak diketahui oleh organisasi.

Akhirnya, ketahanan adalah kemampuan kunci lain untuk dikembangkan. Menerapkan prosedur konkret untuk respons insiden dan mengurangi paparan sangat penting jika kerentanan telah dieksploitasi. Karena banyak organisasi telah menggunakan solusi keamanan yang berbeda, memastikan penggunaan solusi ini secara efektif dalam melindungi aplikasi bisnis penting adalah kuncinya.

Pelajari lebih lanjut tentang cara menjadikan tim keamanan Anda sebagai kebutuhan di era pertama API.

Ambil contoh ini: di BNP Paribas, tim keamanan membuat cetak biru aplikasi yang berbeda untuk memahami bagaimana masing-masing dipengaruhi oleh transisi ke cloud. Cetak biru ini digunakan oleh manajemen eksekutif untuk memberdayakan pandangan berbagai beban kerja yang dapat dimigrasikan dengan aman ke cloud.

Mereka kemudian menciptakan tata kelola di sekitarnya, baik di tingkat grup korporat, yang berfokus pada strategi, dan di tingkat operasional, yang berfokus pada jaminan pemantauan berkelanjutan. Langkah mereka selanjutnya adalah membuat komite pengarah API untuk memprioritaskan layanan dalam hal kemampuan mereka untuk memonetisasi data. Terakhir, mereka membuat program manajemen risiko pihak ketiga dan menyertakan pemangku kepentingan internal yang penting untuk mengembangkan strategi keamanan aplikasi mereka.

Sisi positif yang mengejutkan dari peraturan keamanan

Sama seperti individu, tim juga memiliki reputasi. Untuk tim keamanan, sangat penting untuk memastikan bahwa dari waktu ke waktu mereka tidak dipandang sebagai gangguan yang menghalangi pengiriman cepat, melainkan sebagai pendukung bisnis. Di sinilah peraturan benar-benar dapat membantu memastikan bahwa hal ini tidak terjadi.

Dengan mengkondisikan peluncuran inisiatif baru pada kepatuhan terhadap langkah-langkah keamanan, keselamatan, dan kepatuhan, tim keamanan menjadi suatu keharusan. Setelah tim keamanan dengan jelas menarik garis antara peraturan, kerentanan yang mereka temukan, dan dampak bisnis, tim pengembangan akan berhenti melihatnya sebagai gangguan.

Ini meningkatkan keamanan menjadi enabler bisnis strategis dan bahkan pembeda kompetitif.

Di Mastercard, misalnya, di bawah kepemimpinan seorang CEO yang berfokus pada keamanan sejak awal, tim keamanan korporat mereka adalah jantung dari model bisnis mereka dan menyediakan layanan keamanan untuk semua pelanggan mereka dan ekosistem pada umumnya. .

Ringkasan

Di era API, organisasi harus memikirkan kembali postur keamanan mereka. Tren seperti krisis kepercayaan, keterkaitan rantai pasokan, peraturan, dan meningkatnya jumlah pelaku kejahatan mendikte peralihan ke pendekatan dari dalam ke luar dalam hal keamanan siber.

Dengan semakin banyak perusahaan yang memungkinkan pengguna untuk mengakses data dan fungsionalitas melalui API, perspektif keamanan harus berubah dari membatasi akses menjadi kontrol dan izin yang lebih baik.

Untuk memulai, organisasi harus terlebih dahulu memastikan visibilitas yang jelas dari kerentanan dan kemampuan untuk memprioritaskan sesuai dengan dampak bisnis. Memastikan bahwa seluruh organisasi memahami ancaman dan risiko yang ditimbulkan pada proses bisnis penting mereka juga merupakan kunci.

Menetapkan proses formal, termasuk penemuan, jaminan, pemantauan berkelanjutan, dan ketahanan, dan akhirnya, mengubah pandangan tim keamanan dari gangguan menjadi kebutuhan sangat penting untuk pengiriman produk yang aman.

*** Artikel ini didasarkan pada sesi pertama dari program pendidikan eksekutif oleh Imajinasi.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *