คำถาม: องค์กรต่างๆ จะแน่ใจได้อย่างไรว่า API ของตนทนต่อการถูกบุกรุก เมื่อต้องเผชิญกับการโจมตีตาม API ที่เพิ่มขึ้น
Rory Blundell ผู้ก่อตั้งและ CEO ของ Gravitee: ธุรกิจทุกขนาดและในทุกอุตสาหกรรมมักจะพึ่งพา API ภายในเพื่อรวมแอปสายงานธุรกิจของตนเข้าด้วยกัน และใช้ API ภายนอกเพื่อแบ่งปันข้อมูลหรือบริการกับผู้ขาย ลูกค้า หรือคู่ค้า เนื่องจาก API เดียวอาจเข้าถึงแอปพลิเคชันหรือบริการหลายรายการ การประนีประนอม API จึงเป็นวิธีที่ง่ายในการประนีประนอมสินทรัพย์ทางธุรกิจในวงกว้างโดยใช้ความพยายามน้อยที่สุด
API ได้กลายเป็นเวกเตอร์โจมตียอดนิยม และความถี่ของการโจมตี API ก็เพิ่มขึ้นอย่างน่าตกใจ ลด 681%ตามล่าสุด การวิจัยจาก Salt Labs. ขั้นตอนแรกในการรักษาความปลอดภัย API ของคุณคือการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด เช่น OWASP แนะนำให้ป้องกันความเสี่ยงด้านความปลอดภัย API ทั่วไป.
อย่างไรก็ตาม หลักปฏิบัติด้านความปลอดภัยของ API ขั้นพื้นฐานนั้นไม่เพียงพอที่จะรักษาทรัพยากรด้านไอทีให้ปลอดภัย ธุรกิจควรทำตามขั้นตอนเพิ่มเติมต่อไปนี้เพื่อปกป้อง API ของตน
1. ใช้การรับรองความถูกต้องตามความเสี่ยง
ธุรกิจควรใช้นโยบายการรับรองความถูกต้องตามความเสี่ยง ซึ่งอนุญาตให้บังคับใช้การป้องกันความปลอดภัยในกรณีที่มีความเสี่ยงสูง ตัวอย่างเช่น ไคลเอ็นต์ API ที่มีประวัติยาวนานในการออกคำขอที่ถูกต้องตามรูปแบบที่คาดเดาได้อาจไม่จำเป็นต้องผ่านการรับรองความถูกต้องในระดับเดียวกันสำหรับแต่ละคำขอเหมือนกับไคลเอนต์ใหม่ที่ไม่เคยเชื่อมต่อมาก่อน แต่ถ้ารูปแบบการเข้าถึงของไคลเอนต์ API ที่ใช้งานมานานเปลี่ยนไป เช่น ถ้าจู่ๆ ไคลเอนต์เริ่มออกคำขอจากที่อยู่ IP อื่น การต้องการการรับรองความถูกต้องที่เข้มงวดมากขึ้นจะเป็นวิธีที่ชาญฉลาดเพื่อให้แน่ใจว่าคำขอไม่ได้มาจากไคลเอ็นต์ที่ถูกบุกรุก
2. เพิ่มการตรวจสอบไบโอเมตริกซ์
แม้ว่าโทเค็นยังคงมีความสำคัญในฐานะวิธีการพื้นฐานในการตรวจสอบลูกค้าและคำขอ สามารถถูกขโมยได้. ด้วยเหตุผลดังกล่าว การรวมการรับรองความถูกต้องด้วยโทเค็นเข้ากับการรับรองความถูกต้องด้วยไบโอเมตริกจึงเป็นวิธีที่ชาญฉลาดในการปรับปรุงความปลอดภัยของ API แทนที่จะคิดว่าใครก็ตามที่มีโทเค็น API เป็นผู้ใช้ที่ถูกต้อง นักพัฒนาควรออกแบบแอปพลิเคชันเพื่อให้ผู้ใช้ตรวจสอบความถูกต้องด้วยลายนิ้วมือ สแกนใบหน้า หรือวิธีการที่คล้ายกัน อย่างน้อยก็ในบริบทที่มีความเสี่ยงสูง
3. บังคับใช้การรับรองความถูกต้องจากภายนอก
ยิ่งรูปแบบการตรวจสอบสิทธิ์ API ของคุณซับซ้อนมากขึ้นเท่าใด การบังคับใช้ข้อกำหนดด้านความปลอดภัยภายในแอปพลิเคชันของคุณก็ยิ่งยากขึ้นเท่านั้น ด้วยเหตุผลดังกล่าว นักพัฒนาควรพยายามแยกกฎความปลอดภัย API ออกจากตรรกะของแอปพลิเคชัน และใช้เครื่องมือภายนอกแทน เช่น เกตเวย์ API เพื่อบังคับใช้ข้อกำหนดด้านความปลอดภัย วิธีการนี้ทำให้นโยบายการรักษาความปลอดภัย API ปรับขนาดได้และยืดหยุ่นมากขึ้น เนื่องจากสามารถติดตั้งและอัปเดตได้อย่างง่ายดายภายในเกตเวย์ API แทนที่จะใช้ซอร์สโค้ดของแอปพลิเคชัน และที่สำคัญที่สุดคือ คุณสามารถใช้กฎที่แตกต่างกันกับผู้ใช้หรือคำขอที่แตกต่างกันตามโปรไฟล์ความเสี่ยงที่แตกต่างกัน
4. ปรับสมดุลความปลอดภัย API กับการใช้งาน
สิ่งสำคัญคือต้องไม่ปล่อยให้ความปลอดภัยกลายเป็นศัตรูของความสามารถในการใช้งาน หากคุณทำให้มาตรการตรวจสอบสิทธิ์ API ก้าวก่ายหรือเป็นภาระมากเกินไป ผู้ใช้ของคุณอาจละทิ้ง API ของคุณ ซึ่งตรงข้ามกับสิ่งที่คุณต้องการให้เกิดขึ้น หลีกเลี่ยงสิ่งนี้โดยตรวจสอบให้แน่ใจว่ากฎความปลอดภัยของ API เข้มงวดเมื่อมีเหตุผล แต่ไม่มีการกำหนดข้อกำหนดที่ไม่จำเป็น
การโจมตีที่กำหนดเป้าหมาย APIs ไม่มีสัญญาณของการชะลอตัว เมื่อออกแบบและรักษาความปลอดภัยของ API นักพัฒนาควรทำมากกว่าคำแนะนำของ OWASP เพื่อให้ใช้ประโยชน์จาก API ได้ยากขึ้น
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์