Trong nhiều bài báo chúng ta sẽ thường thấy những cụm từ như “ Trong bối cảnh kỹ thuật số không ngừng phát triển của chúng ta… ” được nhắc đến khá nhiều. Điều đó nói rằng, việc sử dụng lại thường xuyên một cụm từ như vậy không làm cho nó kém chính xác hơn; chúng ta đang sống trong thời kỳ bùng nổ công nghệ lớn. Đôi khi, có cảm giác như chúng ta đang ở giữa “khoảnh khắc iPhone ( News - Alert )” cách mỗi năm hoặc bốn hoặc năm năm một lần, khi một sản phẩm mới hoặc thậm chí các loại sản phẩm hoàn toàn mới được tung ra, làm thay đổi khả năng ứng dụng của cảnh quan kỹ thuật số của chúng tôi, mãi mãi. Tất nhiên, với sự bùng nổ đáng kể kéo theo các lực lượng thay đổi, nhiều người có ý định cực kỳ tích cực và thật không may, nhiều người có ý định ác ý. Những kẻ xấu thực hiện các cuộc tấn công ít gây hại cho chúng ta hoặc gây hại nhiều như chúng ta thấy khi các biện pháp an ninh của pháo đài công nghệ bị vi phạm. Vì vậy, với giai đoạn này được thiết lập, chúng ta hãy nói cụ thể về các biện pháp bị vi phạm và bị hỏng – cũng như các phương pháp hay nhất về bảo mật – xung quanh Giao diện lập trình ứng dụng (API).
Đối với bất kỳ người nào không quen thuộc, Callum McClelland của Leverage đã tương tự hóa chúng rất tốt, cho dù bạn có phải là người thiên về công nghệ hay không. (Mặc dù, theo McClelland, phép loại suy này không hoàn hảo; tuy nhiên, nó hoạt động cho những mục đích này.) Giả sử bạn đang ở nhà hàng (hoặc bạn đang sử dụng dịch vụ đặt đồ ăn tại nhà để có thể lấy đồ ăn được giao từ nhà hàng). Khi đặt một đối một bên cạnh chủ đề API, bạn (người đặt hàng thực phẩm) là một chương trình. Nhà hàng mà bạn đang đặt hàng là một chương trình khác mà bạn muốn tương tác. Để nhận được thứ bạn muốn (tức là đồ ăn) từ chương trình khác (tức là nhà hàng), bạn cần đưa ra yêu cầu (tức là đặt món ăn tại chỗ hoặc gọi món mang đi) theo một cách cụ thể. Nếu bạn cố gắng yêu cầu không chính xác (tức là bạn cố gắng đặt hàng Jimmy John’s từ Chipotle), bạn sẽ không nhận được thứ mình muốn.
Vì vậy, bạn cần đúng menu cho đúng yêu cầu. Như McClelland đã giải thích, các API giống như các menu xác định danh sách các món ăn có sẵn. Khi một đơn đặt hàng được đặt cho một trong những món ăn đó, nhà hàng sẽ làm những việc cần thiết trước khi gửi món ăn ra ngoài. Tương tự, các API xác định một danh sách các lệnh và khi một chương trình sử dụng một trong các lệnh đó, chương trình kia sẽ thực hiện những gì cần thiết trước khi gửi lại những gì được yêu cầu (tức là dữ liệu điển hình, ở một số dạng). Vì vậy, các API xác định danh sách các lệnh, cũng như các định dạng cần thiết cho các lệnh đã nói. Khi một công ty phát hành API cho phần mềm của mình, điều đó có nghĩa là về cơ bản họ đang nói với mọi người rằng “Đây là những gì bạn có thể nhận được từ chương trình của chúng tôi và đây chính xác là cách bạn phải yêu cầu để nhận được nó.” Phiên bản dài-truyện-ngắn? Các API giúp các chương trình có thể tương tác ở hậu trường và chúng giảm bớt sự phức tạp.
Với sự tương tự này, điều quan trọng cần lưu ý là API cho phép các hệ thống phần mềm giao tiếp, giúp tích hợp, trao đổi dữ liệu và chức năng giữa các ứng dụng, trang web và dịch vụ trở nên liền mạch một cách lý tưởng. Và mặc dù API rõ ràng đóng vai trò then chốt ở đây, nhưng bảo mật API cũng vậy. Tuần trước, Cequence Security (nhà cung cấp Bảo vệ API hợp nhất hoặc UAP) đã công bố thông tin từ một báo cáo về bảo vệ API và đề cập đến các mối đe dọa độc nhất. Báo cáo dựa trên các phân tích từ khoảng một nghìn tỷ giao dịch API (với chữ ‘T’) trải rộng trên vô số ngành và mục đích của báo cáo là làm nổi bật các mối đe dọa API mới nhất đang gây ra tai họa cho các tổ chức. Nó trình bày chi tiết các chiến thuật, kỹ thuật và quy trình thực tế (được gọi là TTP) được sử dụng bởi các tác nhân đe dọa nhằm vào các API hướng tới người tiêu dùng, doanh nghiệp với doanh nghiệp (B2B) và giữa máy với máy (M2M). Dưới đây là tóm tắt những phát hiện chính của Cequence:
• API Shadow– Theo Cequence, chỉ riêng nửa cuối năm 2022 đã có khoảng 45 tỷ lượt tìm kiếm API bóng tối; đây là mức tăng cực lớn 900% so với nửa đầu năm 2022. (API Shadow là công cụ mà những kẻ đe dọa sử dụng để vượt qua các biện pháp bảo mật và giành quyền truy cập vào dữ liệu nhạy cảm, làm gián đoạn hoạt động kinh doanh, v.v.) Mức tăng đột biến này trong API Shadow chỉ ra rủi ro nghiêm trọng như thế nào nếu các giao diện đó không được bảo vệ hoặc được bảo vệ kém.
• Các mối đe dọa duy nhất – Một sự gia tăng cực độ khác, mức này ( 550 % ) đã được nhìn thấy trong tổng số TTP duy nhất được những kẻ tấn công sử dụng trong cùng khoảng thời gian mà báo cáo đề cập.
• One-two combos – Cequence cũng nhận thấy rằng các tác nhân đe dọa hiện đang quan tâm hơn đến việc kết hợp cả chiến thuật API truyền thống và chiến thuật bảo mật ứng dụng web. ( Mức tăng 220%). Điều này làm mọi thứ rối tung lên, khiến việc ngăn chặn các cuộc tấn công trở nên khó khăn hơn.
• Những thách thức đối với viễn thông – Trong ngành này, các TTP hoàn toàn mới được nhìn thấy nhiều hơn bất kỳ nơi nào khác; bề mặt tấn công cho viễn thông đang trải dài và các chiến thuật đã tinh vi như chúng vẫn tồn tại.
Ameya Talwalkar, Giám đốc điều hành của Cequence cho biết: “Các vụ vi phạm API đã gây khó khăn cho nhiều tổ chức nổi tiếng trong những tháng gần đây, khiến CISCO cần phải ưu tiên bảo vệ API. “Các cuộc tấn công ngày càng trở nên sáng tạo và cụ thể hơn trong các chiến thuật đa dạng của chúng và các biện pháp bảo vệ truyền thống không còn đủ nữa. Khi tự động hóa tấn công trở thành mối đe dọa ngày càng phổ biến đối với API, điều quan trọng là các tổ chức phải có công cụ, kiến thức và chuyên môn để chống lại chúng trong thời gian thực.”
Bối cảnh mối đe dọa API đang “bùng nổ” (khi bài viết này bắt đầu) theo những cách mà các tổ chức không thể ngủ yên trong thời gian dài, về mặt bảo vệ. Cảnh giác trước các hoạt động khai thác lỗ hổng tự động và thủ công là rất quan trọng, kẻo việc phòng thủ không hiệu quả sẽ trở thành những bước đệm dễ dàng cho những kẻ tấn công vượt qua. Đọc thêm từ Cequence về các biện pháp bảo vệ API (ví dụ: cơ chế xác thực như khóa API, kỹ thuật mã hóa như TLS, v.v.) bảo vệ chống gian lận thỏa hiệp, tấn công logic, khai thác và rò rỉ dữ liệu ngoài ý muốn tại đây .