RSA – API, pintu belakang khusus organisasi Anda

Dalam ketergesaan untuk mengintegrasikan, portal komputer-ke-komputer yang dipertahankan dengan ringan ini memungkinkan transfer data yang cepat antar sistem untuk memperkaya dan menampilkan data di seluruh struktur digital Anda. Tetapi bagian yang dipertahankan dengan ringan dapat memungkinkan penyedotan data secara besar-besaran dengan merekayasa balik detail API dan meluncurkan siphon. Karena transfer data berbasis API begitu cepat, hanya ada sedikit waktu untuk mencegah hal-hal yang sangat buruk terjadi dengan cepat.

Di sini di Konferensi RSA, beberapa sesi dan vendor telah mencoba membuat kami memahami cara menyambungkan lubang digital yang sering kali tidak aman ini.

Untuk melindungi API Anda, Anda harus menemukan kerentanannya sebelum mereka melakukannya. Sekali lagi, alat yang sama digunakan oleh penyerang dan pembela. Perbedaannya adalah Anda jauh lebih mungkin untuk diberi tahu jika aplikasi web Anda memiliki masalah keamanan daripada API publik Anda, meskipun yang terakhir dapat menyebabkan kerusakan yang sama.

Meskipun ada beberapa tumpang tindih dengan pengujian aplikasi web tradisional, API bertindak berbeda, dan mengharapkan berbagai bentuk pertanyaan dan respons yang ada dalam aplikasi mesin-ke-mesin yang begitu lazim akhir-akhir ini.

Misalnya, API mengharapkan blok data terstruktur yang sesuai dengan beberapa standar interoperable yang mudah dicerna oleh sistem komputer lain. Mereka juga mengharapkan otentikasi jabat tangan terstruktur antar komputer, atau terkadang sedikit otentikasi sama sekali.

Sebuah renungan

Di ruangan yang penuh dengan peserta RSA dengan banyak API di luar sana, ketika ditanya berapa banyak yang tahu bahwa mereka telah sepenuhnya mengamankan semuanya, ada seorang jenderal yang berjalan ke pintu untuk memanggil tim keamanan. Begitulah.

Di sisi persamaan “perbaiki dan uji saat Anda membuatnya”, satu penjaja mengusulkan pemanggangan dalam pengujian dinamis API selama siklus pengembangan perangkat lunak sebelum apa pun dikerahkan. Dengan wadah Docker yang bagus yang dapat Anda luncurkan yang melihat setiap iterasi API yang sedang dikerjakan pengembang Anda dan mengujinya saat Anda pergi, itu cara yang baik untuk memiliki keyakinan bahwa Anda tidak secara tidak sengaja membangun pintu belakang terbaik berikutnya.

Bagaimana cara orang jahat menemukan API yang tidak aman? Cukup sering hanya membaca dokumentasi. Dimasukkan ke dalam antarmuka API standar adalah file yang membentuk layanan direktori, menguraikan semua tempat yang mungkin Anda cari untuk hal-hal rahasia. Dengan cara ini, pemindai dapat mengotomatisasi penyelidikan secara rekursif agar data tertelan.

API tidak hanya menghadapi jaringan publik – mereka sering duduk di inti bisnis, secara diam-diam memperdagangkan informasi “tepercaya” seperti statistik pada sistem HVAC untuk gedung, tetapi juga menawarkan peluang pergerakan lateral setelah orang jahat masuk ke jaringan Anda. Vendor menyadari bahwa produk mereka hanyalah salah satu bagian dari lanskap digital di sebuah organisasi dan mereka harus dapat berintegrasi dengan yang lain, sehingga mereka meluncurkan API untuk berbicara baik dengan sisa teknologi yang digunakan.

Ini juga berarti tim keamanan internal lebih memperhatikan lalu lintas semacam ini. Tapi ini adalah jenis akses yang ingin didapatkan oleh penulis ransomware.

Selain itu, karena sekawanan perangkat IoT tersebar di seluruh perusahaan akhir-akhir ini, perangkat tersebut membuka API untuk hal-hal seperti pembaruan perangkat lunak, umpan data, dan fungsi pelaporan ke node lain. Dengan cara ini, pijakan dapat diperoleh melalui kerentanan yang memungkinkan aktor jahat mulai melompat dari perangkat ke perangkat.

Proliferasi cepat panggilan API dari segerombolan produk perusahaan mewakili cara baru untuk memikirkan apa yang perlu diamankan, dan untuk mengabaikan serangan yang sangat nyata, sering kali tidak diperhatikan, menempatkan petak data yang besar dalam risiko dipompa dalam truk keluar dari belakang, depan, atau pintu samping dengan sedikit waktu untuk memperhatikan, dan lebih sedikit waktu untuk merespons.