Boomingnya aplikasi seluler, layanan cloud, dan aplikasi Web telah menyebabkan tren yang mengkhawatirkan: Penyerang semakin banyak yang menargetkan API yang mendasarinya. Perusahaan membutuhkan alat untuk mengamankan konektor kaya data ini, dan pengumuman CrowdStrike bahwa mereka berinvestasi di Salt Security menyoroti peran penting keamanan API dalam keamanan aplikasi Web.
API – antarmuka pemrograman aplikasi – ada di mana-mana di perusahaan modern. Pertimbangkan hal berikut:
- Aplikasi Web yang menampilkan peta dan data lokasi bergantung pada Google Maps API.
- Aplikasi e-niaga yang menawarkan beberapa opsi pembayaran, seperti fitur “Bayar dengan PayPal”, menggunakan API.
- Pengecer menggunakan API untuk bekerja sama dengan kurir dan perusahaan pengiriman guna memastikan paket diambil dan dikirimkan dengan benar.
- Perusahaan dapat mengirimkan perangkat lunak melalui API. Itulah yang dilakukan Tesla.
“API menghubungkan data dan layanan penting yang mendorong inovasi digital saat ini,” kata Roey Eliyahu, CEO dan salah satu pendiri Salt Security, dalam sebuah pernyataan.
Pengembang mengandalkan API untuk menghubungkan aplikasi mereka ke berbagai sumber data dan layanan guna membangun fitur dan produk baru tanpa harus memulai dari awal. Misalnya, tidak banyak organisasi yang memiliki sumber daya atau data untuk memelihara peta terperinci, namun mereka tidak memerlukannya karena Google Maps menawarkan informasi melalui API. Namun, fakta bahwa API memiliki akses data dan sistem sensitif membuat mereka rentan. Jika API disalahgunakan, hal ini dapat mengekspos data yang mendasarinya dan mengakibatkan pelanggaran data.
A bug di API Peloton mengizinkan siapa pun untuk mengambil data akun pribadi pengguna langsung dari server Peloton, meskipun profil pengguna disetel ke pribadi. Ada situasi serupa yang terjadi pada situs pinjaman keuangan, di mana a API Experian yang bocor mengizinkan siapa pun untuk mencari skor kredit orang lain hanya dengan nama dan alamat surat.
“Perusahaan memproduksi API dalam jumlah besar dengan tingkat yang jauh melampaui kematangan praktik keamanan jaringan dan aplikasi,” tulis analis Gartner Jeremy D'Hoinne dan Mark O'Neill dalam sebuah laporan “Gartner Predicts” terbaru tentang keamanan API. “Inventaris yang kuat dan penemuan real-time diperlukan untuk mendapatkan visibilitas yang cukup terhadap semua API yang diproduksi organisasi.”
Dari sudut pandang finansial, investasi CrowdStrike masuk akal. Pasar keamanan API diperkirakan akan tumbuh 26.3% antara tahun 2022 dan 2032, menurut penelitian dari Future Market Insights awal bulan ini. Gartner memperkirakan bahwa serangan API akan segera menjadi vektor serangan yang paling sering terjadi pada aplikasi Web.
Selain investasi, CrowdStrike mengatakan pihaknya berencana untuk bekerja sama dengan Salt Security dalam pengujian keamanan untuk memperkuat API dan penemuan API serta perlindungan runtime untuk aplikasi.
