Pertanyaan: Bagaimana organisasi dapat memastikan API mereka tahan terhadap kompromi, dalam menghadapi peningkatan serangan berbasis API?
Rory Blundell, pendiri dan CEO Gravitee: Bisnis dari semua ukuran dan di semua industri secara rutin mengandalkan API internal untuk menyatukan aplikasi lini bisnis mereka, dan pada API eksternal untuk berbagi data atau layanan dengan vendor, pelanggan, atau mitra. Karena satu API mungkin memiliki akses ke beberapa aplikasi atau layanan, mengkompromikan API adalah cara mudah untuk mengkompromikan kumpulan aset bisnis yang luas dengan sedikit usaha.
API telah menjadi vektor serangan yang populer, dan frekuensi serangan API telah meningkat secara mencengangkan 681%, menurut terbaru penelitian dari Salt Labs. Langkah pertama dalam mengamankan API Anda adalah mengikuti praktik terbaik, seperti OWASP merekomendasikan untuk melindungi dari risiko keamanan API umum.
Namun, praktik keamanan API dasar tidak cukup untuk menjaga keamanan sumber daya TI. Bisnis harus mengambil langkah tambahan berikut untuk melindungi API mereka.
1. Mengadopsi Otentikasi Berbasis Risiko
Bisnis harus mengadopsi kebijakan autentikasi berbasis risiko, yang memungkinkan penerapan perlindungan keamanan jika terjadi risiko tinggi. Misalnya, klien API dengan catatan panjang mengeluarkan permintaan yang sah yang mengikuti pola yang dapat diprediksi mungkin tidak perlu melalui tingkat autentikasi yang sama untuk setiap permintaan sebagai klien baru yang belum pernah terhubung sebelumnya. Tetapi jika pola akses klien API lama berubah โ jika, misalnya, klien tiba-tiba mulai mengeluarkan permintaan dari alamat IP yang berbeda โ memerlukan autentikasi yang lebih ketat akan menjadi cara cerdas untuk memastikan bahwa permintaan tidak datang dari klien yang disusupi.
2. Tambahkan Otentikasi Biometrik
Meskipun token tetap penting sebagai sarana dasar untuk mengautentikasi klien dan permintaan, mereka dapat dicuri. Oleh karena itu, menggabungkan autentikasi berbasis token dengan autentikasi biometrik adalah cara cerdas untuk meningkatkan keamanan API. Daripada berasumsi bahwa siapa pun yang memiliki token API adalah pengguna yang valid, pengembang harus merancang aplikasi sehingga pengguna juga harus mengautentikasi menggunakan sidik jari, pemindaian wajah, atau metode serupa, setidaknya dalam konteks berisiko tinggi.
3. Terapkan Otentikasi Secara Eksternal
Semakin kompleks skema autentikasi API Anda, semakin sulit untuk menegakkan persyaratan keamanan dalam aplikasi Anda sendiri. Oleh karena itu, developer harus berusaha memisahkan aturan keamanan API dari logika aplikasi dan sebagai gantinya menggunakan alat eksternal, seperti gateway API, untuk menerapkan persyaratan keamanan. Pendekatan ini membuat kebijakan keamanan API lebih terukur dan fleksibel karena dapat dengan mudah diimplementasikan dan diperbarui dalam gateway API, bukan melalui kode sumber aplikasi. Dan yang terpenting, ini memungkinkan Anda menerapkan aturan yang berbeda untuk pengguna atau permintaan yang berbeda berdasarkan profil risiko yang berbeda-beda.
4. Seimbangkan Keamanan API Dengan Kegunaan
Penting untuk tidak membiarkan keamanan menjadi musuh kegunaan. Jika Anda membuat tindakan autentikasi API terlalu mengganggu atau memberatkan, pengguna Anda mungkin meninggalkan API Anda, yang merupakan kebalikan dari apa yang Anda inginkan. Hindari ini dengan memastikan bahwa aturan keamanan API ketat ketika ada alasan untuk itu, tetapi tanpa memaksakan persyaratan yang tidak perlu.
Serangan yang menargetkan API tidak menunjukkan tanda-tanda melambat. Saat merancang dan mengamankan API, pengembang harus melampaui rekomendasi OWASP untuk mempersulit eksploitasi API.
