Web Salt Labs Diluncurkan Untuk Meningkatkan Keamanan API
Web Salt Labs Diluncurkan Untuk Meningkatkan Keamanan API – Siapa pun yang memiliki kepentingan dalam mengantisipasi serangan keamanan siber dan intrusi jaringan perusahaan melalui kerentanan antarmuka pemrograman aplikasi (API) sekarang dapat memanfaatkan nasihat ahli dan laporan keamanan. Salt Security pada 14 Juli mengumumkan peluncuran Salt Labs, sebuah forum publik untuk mempublikasikan penelitian tentang kerentanan API. Melalui penelitian kerentanan dan ancaman serta laporan industri, Salt Labs akan menjadi sumber daya bagi perusahaan yang ingin memperkuat infrastruktur terhadap risiko API.
Web Salt Labs Diluncurkan Untuk Meningkatkan Keamanan API
deshack – Perusahaan bertujuan untuk mengisi kekosongan informasi yang tersedia tentang risiko API dan sorotan penelitian kerentanan. Salt Labs dibuat sebagai sumber daya bagi pelanggan Salt Security, serta industri yang lebih luas, untuk meningkatkan kesadaran publik akan ancaman keamanan API, memperkuat infrastruktur terhadap risiko API, dan mempercepat inovasi bisnis dengan membuat API tahan serangan dan tangguh. Masalah keamanan API telah menjadi penghambat signifikan inovasi bisnis, menurut Salt.
Baca Juga : Perusahaan Apple Luncurkan Fitur IOS Baru Pada Ponsel IPhone
Salt juga merilis laporan penelitian pertamanya yang merinci empat kerentanan API yang baru-baru ini ditemukan yang berdampak pada bisnis jasa keuangan. Laporan penelitian ancaman pertama ini, “Catatan Keuangan Terperinci yang Diekspos di Platform Layanan Keuangan,” menjadi contoh mencolok untuk outlet semacam itu. Tim menemukan beberapa kerentanan API yang dapat memungkinkan penyerang untuk melihat catatan keuangan pelanggan, menghapus akun pelanggan, melakukan pengambilalihan akun (ATO), atau membuat kondisi penolakan layanan yang akan membuat seluruh aplikasi tidak tersedia.
API adalah kode perangkat lunak yang memungkinkan aplikasi komputer mengakses data dan berinteraksi dengan komponen perangkat lunak eksternal, sistem operasi, atau layanan mikro. Proses memberikan tanggapan pengguna ke sistem dan mengirimkan respons sistem kembali ke pengguna. “Dengan pertumbuhan API dan peran sentral yang mereka mainkan di lingkungan aplikasi saat ini, kebutuhan akan penelitian yang tidak bias, relevan, dan andal telah mendorong kami untuk membagikan penelitian keamanan API terobosan yang telah dilakukan tim kami selama bertahun-tahun,” kata Roey Eliyahu , salah satu pendiri dan CEO Salt Security.
Sebuah Kasus di Point
Menurut Salt Security State of API Security Report, 66 persen organisasi telah menunda penyebaran aplikasi baru karena masalah keamanan API. Untuk mengatasi masalah ini, penelitian dan laporan Salt Labs akan memungkinkan organisasi untuk meningkatkan postur keamanan API mereka dan mengurangi ancaman yang berdampak pada bisnis yang berpusat pada API.
Memanfaatkan pemahaman teknis yang mendalam tentang ancaman API, celah keamanan, dan kesalahan konfigurasi, Salt Labs berfokus pada tiga tujuan. Ini bertujuan untuk memberikan penelitian ancaman berdampak tinggi, mengungkap vektor serangan API terbaru, dan memberikan praktik terbaik remediasi untuk membuat program keamanan API semakin gesit dan dapat ditindaklanjuti.
Strategi Pelaporan
Para peneliti menganonimkan detail teknis dari kerentanan yang dapat mengidentifikasi organisasi agar tidak mengekspos entitas keuangan pada risiko tambahan apa pun. Pejabat Salt Lab meninjau temuan ini dengan organisasi dan membagikan informasi secara publik untuk meningkatkan kesadaran seputar keamanan API dengan merinci pola serangan yang relevan, detail teknis, dan teknik mitigasi untuk setiap kerentanan.
Banyak masalah API hanya muncul saat API berjalan dalam aplikasi, sistem, dan arsitektur yang sepenuhnya terintegrasi, menurut Michael Isbitski, penginjil teknis di Salt Security. Analisis kode saja tidak akan mencakup Anda, dan juga tidak layak dalam kasus kode milik pihak ketiga atau integrasi layanan eksternal.
“Menguji API secara menyeluruh dalam waktu proses tanpa bantuan mesin adalah upaya yang rumit dan memakan waktu. Sulit untuk menemukan keahlian materi pelajaran yang relevan untuk menjalankan semua alat yang diperlukan dan memahami hasil dari apa yang sedang ditemukan karena masalah API melintasi sejumlah domain teknologi dan keamanan, ”katanya kepada TechNewsWorld.
Kekhawatiran Keamanan Siber Tersembunyi
API tidak selalu disebut namanya sebagai aspek keamanan siber. Tetapi API mendukung sebagian besar desain sistem dan rantai pasokan perangkat lunak modern. “Banyak insiden yang kami lihat di industri, termasuk serangan rantai pasokan, terjadi karena API dibiarkan tidak aman atau API digunakan sebagai langkah penting dari rantai serangan,” kata Isbitski.
Secara realistis, organisasi yang peduli dengan risiko keamanan API harus mencari penawaran keamanan API yang dibuat khusus yang dirancang sebagai platform, tambahnya. Solusi tersebut menyediakan berbagai kemampuan untuk mengamankan API di sepanjang siklus hidup.
Lintasan yang berbeda
Proliferasi API dan keamanan API, sayangnya, berada pada lintasan yang berbeda, menurut Setu Kulkarni, wakil presiden strategi di NTT Application Security. API berkembang biak secara eksponensial lebih cepat daripada pengujian keamanan API ini. Sementara itu, membuat dan menerapkan API lebih mudah dari sebelumnya.
“Memeriksa metadata dan analisis lalu lintas langsung menjadi cara yang lebih baik untuk menemukan API daripada sekadar mendaftarkannya berdasarkan umpan balik pengembang,” katanya kepada TechNewsWorld.
Pengujian keamanan API mengikuti pola pengujian fungsional API. Yaitu, menggunakan kerangka dasar yang disediakan oleh alat pengujian fungsional untuk mengatur urutan panggilan API untuk memastikan bahwa tes keamanan dilakukan dalam urutan panggilan tersebut, Kulkarni menjelaskan. “Pengujian dinamis ternyata menjadi cara paling pasti untuk memeriksa API demi keamanan. Pengujian dinamis sedang disesuaikan dengan penggunaan pengembang, ”tambahnya.
Model Bisnis Umum
API dengan cepat menjadi dasar teknis untuk model bisnis B2B dan B2C. Dengan demikian, ketika API dikembangkan dan diterapkan, benar-benar tidak ada cara untuk memperkirakan semua kemungkinan tempat API akan digunakan, menurut Kulkarni.
“API secara diam-diam tetapi dengan cepat menjadi salah satu bagian paling kritis dari rantai pasokan perangkat lunak. Organisasi sekarang menjadi satu panggilan API yang rentan dari potensi pelanggaran besar, ”dia memperingatkan. Tantangan mendasar yang dikaburkan adalah kenyataan bahwa API saat ini adalah fasad dari sistem lama yang tidak pernah dirancang untuk online atau digunakan dalam pengaturan B2B atau B2C terintegrasi, kata Kulkarni.
“Dengan membuat lapisan API, sistem transaksi lama ini diaktifkan untuk berpartisipasi dalam inisiatif transformasi digital,” katanya. Pola pengaktifan API dari sistem lama ini menciptakan masalah keamanan. Jika tidak, mereka tidak akan menjadi masalah di zona tepercaya terkontrol tempat sistem lama dirancang untuk beroperasi.
Apa itu keamanan API?
Keamanan API adalah perlindungan integritas API—baik yang Anda miliki maupun yang Anda gunakan. Tapi apa artinya itu? Nah, Anda mungkin pernah mendengar tentang Internet of Things (IoT), di mana daya komputasi tertanam dalam objek sehari-hari. IoT memungkinkan untuk menghubungkan ponsel Anda ke lemari es Anda, sehingga ketika Anda berhenti di toko kelontong dalam perjalanan pulang, Anda tahu persis apa yang Anda butuhkan untuk pesta makan malam dadakan itu dalam satu jam. Atau mungkin Anda adalah bagian dari tim DevOps, menggunakan layanan mikro dan container untuk membangun dan menerapkan aplikasi lawas dan cloud-native dengan cara yang cepat dan berulang.
API adalah salah satu cara paling umum yang digunakan layanan mikro dan wadah untuk berkomunikasi, seperti halnya sistem dan aplikasi. Karena integrasi dan interkonektivitas menjadi lebih penting, begitu pula API. Bisnis menggunakan API untuk menghubungkan layanan dan mentransfer data. API yang rusak, terbuka, atau diretas berada di balik pelanggaran data utama. Mereka mengekspos data medis, keuangan, dan pribadi yang sensitif untuk konsumsi publik. Yang mengatakan, tidak semua data itu sama atau harus dilindungi dengan cara yang sama. Cara Anda mendekati keamanan API akan bergantung pada jenis data yang sedang ditransfer.
Jika API Anda terhubung ke aplikasi pihak ketiga, pahami bagaimana aplikasi itu menyalurkan informasi kembali ke internet. Untuk menggunakan contoh di atas, mungkin Anda tidak peduli jika seseorang mengetahui apa yang ada di lemari es Anda, tetapi jika mereka menggunakan API yang sama untuk melacak lokasi Anda, Anda mungkin lebih khawatir. Keamanan Web API berkaitan dengan transfer data melalui API yang terhubung ke internet. OAuth (Otorisasi Terbuka) adalah standar terbuka untuk delegasi akses. Ini memungkinkan pengguna untuk memberikan akses pihak ketiga ke sumber daya web tanpa harus membagikan kata sandi.
OAuth adalah standar teknologi yang memungkinkan Anda membagikan video kompilasi corgi belly flop itu ke jejaring sosial Anda dengan satu tombol “bagikan”. Sebagian besar implementasi API adalah REST (Representational State Transfer) atau SOAP (Simple Object Access Protocol). REST API menggunakan HTTP dan mendukung enkripsi Transport Layer Security (TLS). TLS adalah standar yang menjaga koneksi internet tetap pribadi dan memeriksa bahwa data yang dikirim antara dua sistem (server dan server, atau server dan klien) dienkripsi dan tidak dimodifikasi. Ini berarti bahwa peretas yang mencoba mengekspos informasi kartu kredit Anda dari situs belanja tidak dapat membaca data Anda atau mengubahnya.
Baca Juga : Mengulas Keamanan Integritas Data dan Pencadangan Data
Anda tahu jika sebuah situs web dilindungi dengan TLS jika URL dimulai dengan “HTTPS” (Hyper Text Transfer Protocol Secure). REST API juga menggunakan JavaScript Object Notation (JSON), yang merupakan format file yang memudahkan untuk mentransfer data melalui browser web. Dengan menggunakan HTTP dan JSON, REST API tidak perlu menyimpan atau mengemas ulang data, membuatnya jauh lebih cepat daripada SOAP API.
SOAP API menggunakan protokol bawaan yang dikenal sebagai Keamanan Layanan Web (Keamanan WS). Protokol-protokol ini mendefinisikan seperangkat aturan yang dipandu oleh kerahasiaan dan otentikasi. API SOAP mendukung standar yang ditetapkan oleh dua badan standar internasional utama, Organisasi untuk Kemajuan Standar Informasi Terstruktur (OASIS) dan World Wide Web Consortium (W3C).
Mereka menggunakan kombinasi enkripsi XML, tanda tangan XML, dan token SAML untuk memverifikasi autentikasi dan otorisasi. Secara umum, SOAP API dipuji karena memiliki langkah-langkah keamanan yang lebih komprehensif, tetapi mereka juga membutuhkan lebih banyak manajemen. Untuk alasan ini, SOAP API direkomendasikan untuk organisasi yang menangani data sensitif.