Các API đang ngày càng trở thành mục tiêu ưa thích của tin tặc để chúng tìm cách xâm nhập vào môi trường đám mây bằng phần mềm độc hại như cryptojacking và ransomware. Hiện nay, công ty 42Crunch và Cisco đang giải quyết những mối đe dọa này bằng cách ủng hộ phương pháp tiếp cận “shift-left” đối với bảo mật và khám phá API giúp các nhà phát triển có thể bảo vệ mã trong quy trình xây dựng API.

Mặc dù việc sử dụng dịch vụ đám mây mang lại cho các doanh nghiệp nhiều lợi ích bảo mật, nhưng kéo theo đó là việc các lỗ hổng bảo mật mới vẫn tiếp tục phát sinh mang lại cho tin tặc những con đường mới để tấn công vào các môi trường dựa trên đám mây. Một trong những con đường tấn công như vậy là API. Mọi thiết bị di động được kết nối, các website hiện đại hoặc ứng dụng được lưu trữ trên đám mây đều sử dụng và hiển thị các API. Các API này cho phép truy cập vào dữ liệu và sử dụng chức năng của các ứng dụng.

Mặc dù chúng khá dễ bị lộ, nhưng lại rất khó để bảo vệ trước các cuộc tấn công API. Hơn thế nữa, các shadow API và API zombie (các API không dùng đến nữa mà doanh nghiệp cho rằng đã bị vô hiệu hóa) xuất hiện đầy rẫy, cách kiểm tra lỏng lẻo, thông số kỹ thuật API không đầy đủ dẫn đến các vấn đề xác thực và ủy quyền thường tăng lên. Để giải quyết những thách thức này, 42Crunch đã hợp tác với Cisco để tạo ra APIClarity, một công cụ mã nguồn mở mới để cải thiện cấu hình và bảo vệ các API.

APIClarity

Trong một nghiên cứu gần đây về Cảnh quan đe doạ đám mây, IBM phát hiện ra rằng 2/3 số vụ vi phạm đám mây có thể là do các API được định cấu hình sai.

Ngày nay, APIClarity sử dụng khung Service Mesh để khám phá các API và có thể được sử dụng cùng với các khả năng Kiểm tra API của 42Crunch để cải thiện cấu hình API. Biết thông số kỹ thuật API là bước đầu tiên để xác định các rủi ro API và APIClarity nắm bắt tất cả lưu lượng API hiện có, đồng thời xây dựng thông số kỹ thuật OpenAPI bằng cách quan sát lưu lượng API và cho phép người dùng tải lên thông số kỹ thuật OpenAPI để xem xét, sửa đổi và phê duyệt các thông số kỹ thuật đã tạo.

APIClarity cảnh báo người dùng về sự khác biệt giữa thông số kỹ thuật API đã được phê duyệt và đặc điểm kỹ thuật được quan sát trong thời gian chạy, đồng thời phát hiện các shadow API và API zombie bằng cách kiểm tra bảng điều khiển giao diện người dùng và giám sát các phát hiện API.

Ông Vijoy Pandey, Phó chủ tịch của Emerging Technologies and Incubations tại Cisco cho biết: “Có một chiến lược bảo mật API mạnh mẽ là rất quan trọng để các doanh nghiệp thành công với các dự án chuyển đổi kỹ thuật số của mình. Ra mắt APIClarity thể hiện một bước quan trọng trong việc cung cấp giải pháp bảo mật API end-to-end cho môi trường đám mây doanh nghiệp. Chúng tôi rất vui mừng về tiềm năng của APIClarity để trao quyền cho các nhà phát triển áp dụng cách tiếp cận bảo mật dưới dạng mã hóa để bảo vệ API của họ và tiếp tục làm việc với các tổ chức như 42Crunch, những người có cùng tầm nhìn để phát triển bảo mật API cao hơn nữa”.

Bà Isabelle Mauny, CTO và đồng sáng lập của 42Crunch, cho biết: “Các nhóm bảo mật và API ngày nay giống như đang đứng ở ngã ba đường. Họ có thể cố gắng tiếp tục chặn các mối đe dọa API, sau khi chúng đã được xác định và gây ra thiệt hại tiềm ẩn hoặc họ có thể áp dụng các phương pháp phòng ngừa bằng cách mã hóa bảo mật vào API của họ tại thời điểm thiết kế để bảo vệ trong suốt vòng đời của API. Sáng kiến ​​này của 42Crunch và Cisco đã trao quyền cho các nhà phát triển các công cụ để xây dựng và tự động hóa bảo mật trong quy trình phát triển API của họ. Nó cũng đảm bảo các nhóm bảo mật duy trì toàn quyền kiểm soát việc thực thi chính sách bảo mật ở mọi giai đoạn của vòng đời API, từ thiết kế đến bảo vệ trong thời gian chạy”.