Câu hỏi: Làm cách nào các tổ chức có thể đảm bảo API của họ có khả năng chống lại sự xâm phạm khi đối mặt với các cuộc tấn công dựa trên API ngày càng gia tăng?
Rory Blundell, người sáng lập và CEO của Gravitee: Các doanh nghiệp thuộc mọi quy mô và trong tất cả các ngành thường dựa vào API nội bộ để hợp nhất các ứng dụng ngành nghề kinh doanh của họ và dựa vào API bên ngoài để chia sẻ dữ liệu hoặc dịch vụ với nhà cung cấp, khách hàng hoặc đối tác. Vì một API có thể có quyền truy cập vào nhiều ứng dụng hoặc dịch vụ nên việc xâm phạm API là một cách dễ dàng để xâm phạm một tập hợp tài sản kinh doanh rộng lớn mà không tốn nhiều công sức.
API đã trở thành một phương tiện tấn công phổ biến và tần suất các cuộc tấn công API đã tăng lên một cách đáng kinh ngạc. 681%, theo thông tin gần đây nghiên cứu từ Salt Labs. Bước đầu tiên trong việc bảo mật API của bạn là tuân theo các phương pháp hay nhất, chẳng hạn như các phương pháp mà OWASP khuyến nghị bảo vệ khỏi các rủi ro bảo mật API phổ biến.
Tuy nhiên, các biện pháp bảo mật API cơ bản là không đủ để giữ an toàn cho tài nguyên CNTT. Các doanh nghiệp nên thực hiện các bước bổ sung sau để bảo vệ API của mình.
1. Áp dụng xác thực dựa trên rủi ro
Doanh nghiệp nên áp dụng các chính sách xác thực dựa trên rủi ro, cho phép thực thi các biện pháp bảo vệ an ninh trong trường hợp rủi ro tăng cao. Ví dụ: một ứng dụng khách API có lịch sử lâu dài về việc đưa ra các yêu cầu hợp pháp theo mẫu có thể dự đoán được có thể không cần phải trải qua cùng một cấp độ xác thực cho mỗi yêu cầu như một ứng dụng khách mới chưa từng kết nối trước đó. Nhưng nếu mẫu truy cập của ứng dụng khách API lâu năm thay đổi — chẳng hạn như nếu ứng dụng khách đột nhiên bắt đầu đưa ra yêu cầu từ một địa chỉ IP khác — việc yêu cầu xác thực nghiêm ngặt hơn sẽ là một cách thông minh để đảm bảo rằng các yêu cầu đó không đến từ một ứng dụng khách bị xâm phạm.
2. Thêm xác thực sinh trắc học
Mặc dù mã thông báo vẫn quan trọng như một phương tiện cơ bản để xác thực khách hàng và yêu cầu, nhưng chúng có thể bị đánh cắp. Vì lý do đó, việc kết hợp xác thực dựa trên mã thông báo với xác thực sinh trắc học là một cách thông minh để tăng cường bảo mật API. Thay vì giả định rằng bất kỳ ai sở hữu mã thông báo API đều là người dùng hợp lệ, nhà phát triển nên thiết kế ứng dụng sao cho người dùng cũng phải xác thực bằng dấu vân tay, quét khuôn mặt hoặc phương pháp tương tự, ít nhất là trong bối cảnh có rủi ro cao hơn.
3. Thực thi xác thực bên ngoài
Các sơ đồ xác thực API của bạn càng phức tạp thì việc thực thi các yêu cầu bảo mật trong chính ứng dụng của bạn càng khó. Vì lý do đó, các nhà phát triển nên cố gắng tách các quy tắc bảo mật API khỏi logic ứng dụng và thay vào đó sử dụng các công cụ bên ngoài, như cổng API, để thực thi các yêu cầu bảo mật. Cách tiếp cận này làm cho các chính sách bảo mật API có khả năng mở rộng và linh hoạt hơn vì chúng có thể được triển khai và cập nhật dễ dàng trong các cổng API, thay vì thông qua mã nguồn ứng dụng. Và quan trọng nhất, nó cho phép bạn áp dụng các quy tắc khác nhau cho những người dùng hoặc yêu cầu khác nhau dựa trên các hồ sơ rủi ro khác nhau.
4. Cân bằng bảo mật API với khả năng sử dụng
Điều quan trọng là không để tính bảo mật trở thành kẻ thù của khả năng sử dụng. Nếu bạn thực hiện các biện pháp xác thực API quá xâm phạm hoặc nặng nề, người dùng có thể từ bỏ API của bạn, điều này trái ngược với những gì bạn mong muốn. Hãy tránh điều này bằng cách đảm bảo rằng các quy tắc bảo mật API phải nghiêm ngặt khi có lý do nhưng không áp đặt các yêu cầu không cần thiết.
Các cuộc tấn công nhắm mục tiêu API không có dấu hiệu chậm lại. Khi thiết kế và bảo mật API, nhà phát triển nên vượt xa các khuyến nghị của OWASP để khiến việc khai thác API trở nên khó khăn hơn.
