 |
| XCION Conference: pentingnya menjaga keamanan API |
Saat ini teknologi API (Application Program Interface) menjadi bagian penting dari ekonomi digital. Berkat API, pelaku industri bisa lebih cepat melakukan inovasi dan memanfaatkan aset data yang mereka miliki. Sebuah survei terhadap 300 pemimpin perusahaan global menemukan, 98% responden meyakini teknologi API akan menjadi bagian esensial dari transformasi digital perusahaan mereka.
Akan tetapi, melejitnya popularitas API akhirnya juga menimbulkan risiko tersendiri, yaitu meningkatnya serangan siber terhadap API. API menjadi sasaran “empuk” karena tersebar di mana-mana serta mengandung data sensitif. Cukup menemukan satu celah keamanan, penjahat siber bisa mendapatkan semua data penting di dalam API tersebut.
Keamanan API ini menjadi salah satu topik menarik yang diangkat pada webinar XCION 9th Annual Virtual Conference. Acara ini sendiri diselenggarakan oleh ICION (Indonesia CIO Network), komunitas CIO perusahaan Indonesia. Melalui acara ini, ICION ingin meningkatkan kesadaran akan isu cyber security saat ini, termasuk keamanan API.
Pahami Kelemahannya
Menurut Karl Mattson (CISO Noname Security), ada beberapa tipikal kesalahan yang menjadi celah keamanan API. Contohnya adalah implementasi otentikasi yang kurang tepat, sehingga data sensitif dapat diakses dengan otentikasi sederhana. “Kami juga sering mendapatkan API yang miskonfigurasi sehingga terekspos ke internet di luar jalur API, tanpa disadari pemilik API,” tambah Karl.
Masalah keamanan API menjadi tambah pelik karena masih sedikit perusahaan yang menaruh perhatian khusus akan hal ini. “Keamanan API masih menjadi blind spot yang kurang mendapat perhatian perusahaan,” ungkap Karl. Keamanan API seringkali dibebankan kepada developer, yang belum tentu memiliki skillset yang cukup untuk itu.
Sedangkan bagi perusahaan enterprise, mereka memang memiliki tim DevSecOps yang bertugas mengawal pembuatan aplikasi sejak awal. Namun DevSecOps ini juga tidak bertanggung jawab sepenuhnya terhadap keamanan API, utamanya saat sudah dibuka ke publik.
Karena itu, Karl menyebut pentingnya perusahaan memiliki mekanisme untuk memonitor keamanan API secara kontinu. “Dalam tahap awal, setidaknya perusahaan memiliki daftar aset API yang mereka miliki,” tambah Karl. Dengan begitu, tim security bisa memiliki data yang solid terkait aset yang harus mereka lindungi.
Noname Security sendiri menyediakan solusi yang secara otomatis memindai API yang dimiliki perusahaan, termasuk menemukan celah keamanan yang ada. “Prosesnya tidak intrusif dan hasilnya dapat didapat dalam hitungan hari,” tambah Karl.
Selain itu, Noname juga memiliki solusi yang dapat diintegrasikan sejak awal pembuatan API. Solusi ini akan melakukan analisis terhadap API sebelum API tersebut diekspos ke publik. Hal ini menjadi krusial di tengah munculnya protokol baru seperti GRPC dan Graph QL.
“75% dari tim kami adalah researcher yang bertugas berpikir seperti hacker untuk menemukan celah keamanan yang mungkin ada,” tambah Karl.
Sumber : https://infokomputer.grid.id/read/123232142/xcion-conference-cara-melindungi-api-dari-serangan-cyber-security
Comments
Post a Comment