‘API’ จุดอ่อนองค์กร เปิดช่องภัยร้ายไซเบอร์

Radware ร่วมกับ Enterprise Management Associates ทำการสำรวจการใช้งาน API (Application Programming Interface) และพบว่า 92% ขององค์กรที่สำรวจมีการใช้งาน API เพิ่มขึ้นอย่างมีนัยสำคัญ 

โดย 59% ใช้งานแอปพลิเคชันส่วนใหญ่ในระบบคลาวด์อยู่แล้ว 92% เชื่อว่าพวกเขามีการป้องกันที่เพียงพอสำหรับ API ของพวกเขา และ 70% เชื่อว่าพวกเขาสามารถมองเห็นแอปพลิเคชันที่ประมวลผลข้อมูลที่ละเอียดอ่อนได้ 

ขณะที่ 62% ยอมรับว่าหนึ่งในสามของ API หรือมากกว่านั้นไม่มีเอกสารซึ่งจุดนี้เองที่ทำให้เกิดช่องโหว่จุดใหญ่และอาจส่งผลให้องค์กรต้องเสี่ยงต่อภัยคุกคามทางไซเบอร์ เช่น การเปิดเผยฐานข้อมูล การละเมิดข้อมูล (data breaches) และการโจมตีแบบขูด (scraping attacks)

ปัจจุบันแอปพลิเคชันที่ใช้ระบบคลาวด์ (cloud)ส่วนใหญ่สร้างขึ้นโดยใช้ API และการเข้าถึงทางเว็บไซด์นั้น API ที่ไม่ปลอดภัยจะนำไปสู่การละเมิดข้อมูลซึ่งเป็นภัยคุกคามที่อันตรายและมีโอกาสเกิดได้มากขึ้นและยังสร้างความเสียหายให้กับ API เหล่านั้นที่ไม่มีเอกสารและไม่มีความปลอดภัย 

ทั้งนี้การออกแบบระบบคลาวด์ต้องอาศัยสแต็กเทคโนโลยีใหม่ (Technology stacks) เช่น containers, kubernetes และ service mesh ทำให้การพัฒนา API การผสานรวม (integration) และการบริโภคได้กลายเป็นข้อกำหนดซึ่งในท้ายที่สุดก็สร้างพื้นที่ในการโจมตีให้ขยายใหญ่ขึ้น 

นอกจากความซับซ้อนของระบบคลาวด์ใน data center แล้ว ระบบคลาวด์ยังเพิ่มการเปิดเผยของข้อมูลสินทรัพย์บางอย่างเกินกว่าที่เข้าใจกัน ด้วยเหตุนี้เอง จำนวนและความรุนแรงของการโจมตี API จึงเพิ่มขึ้นอย่างมาก โดย 95% ขององค์กรต้องประสบกับเหตุการณ์ API

งานวิจัยนี้ตอกย้ำความจริงที่ว่าความปลอดภัยของ API นั้นไม่ได้จัดลำดับความสำคัญมากนัก และตอนนี้ถึงเวลาที่จะต้องเปลี่ยนและรวมโซลูชันที่เพียงพอ เนื่องจากเครื่องมือเก่านั้นมีไม่เพียงพอ และด้วยปริมาณงานที่เพิ่มขึ้นทั่วทั้งระบบคลาวด์และทีมพัฒนาที่ย้ายไปยังสถาปัตยกรรมที่ขับเคลื่อนด้วย API (API-driven architectures) 

การมองเห็นในทุกจุดสิ้นสุดได้กลายเป็นส่วนสำคัญของการรักษาความปลอดภัย การละเมิดที่มีสาเหตุมาจาก API ล่าสุดที่ Bumble และ Coinbase เป็นเพียงตัวอย่าง 2 ตัวอย่างที่แสดงให้เห็นถึงความสำคัญของปัญหานี้

Documenting APIs ถือเป็นก้าวแรกที่ยอดเยี่ยมในการปรับปรุงรูปแบบการรักษาความปลอดภัยขององค์กรต่างๆ และเป็นโอกาสสำหรับทีมความปลอดภัยและการพัฒนาในการทำงานร่วมกัน สำหรับเครื่องมือทดสอบความปลอดภัยที่ทันสมัยสามารถนำเข้าเอกสารนั้นเพื่อให้แน่ใจว่า API ได้รับการทดสอบอย่างสมบูรณ์สำหรับปัญหาด้านความปลอดภัยทุกครั้งที่นักพัฒนาเช็คอินโค้ด (code) เพื่อให้องค์กรได้รับการปกป้องที่ดียิ่งขึ้น”

เราจะเห็นได้ว่าโลกในยุคปัจจุบันมีการเชื่อมต่อแอปพลิเคชั่นมากมายโดยการใช้ API และที่สำคัญที่สุดปัญหาเรื่อง supply chain attacks ที่เราจะต้องเชื่อมต่อกับ business partner หรือ micro service ต่างๆ ล้วนแล้วแต่ใช้ API เป็นตัวเชื่อมต่อทั้งสิ้น 

ดังนั้นเราจึงควรตรวจสอบว่า API ที่เชื่อมต่ออยู่นั้น มีความปลอดภัยหรือไม่ และเพื่อทำให้การเชื่อมต่อมีความปลอดภัยมากยิ่งขึ้น API Security จำเป็นต้องเข้ามาตรวจสอบทั้งหมด

ถึงเวลาที่เราต้องให้ความสำคัญกับ API Security กันแล้วนะครับ...