.jpg)
Các chuyên gia từ lâu đã lo lắng về những rủi ro bảo mật liên quan đến việc sử dụng rộng rãi API. Công ty tư vấn và nghiên cứu toàn cầu Gartner đã viết trong một báo cáo rằng vào năm 2022, lạm dụng API sẽ trở thành cuộc tấn công phổ biến nhất. Trong một nghiên cứu năm 2019, Gartner phát hiện ra rằng 40% các ứng dụng hỗ trợ web sẽ có nhiều không gian để tấn công dưới dạng API tiếp xúc hơn là giao diện người dùng và dự đoán rằng con số này sẽ tăng lên 90% vào năm 2021.
Báo cáo "Tình trạng bảo mật API - Quý 1 năm 2021" của Salt Security xác nhận những lo ngại đó và phát hiện ra rằng trong số gần 200 chuyên gia bảo mật doanh nghiệp được khảo sát, 91% đã gặp sự cố bảo mật API vào năm ngoái.
Trong dữ liệu khách hàng của chính Salt Security, các nhà nghiên cứu phát hiện ra rằng 56% khách hàng phải đối mặt với từ 10 đến 55 cuộc tấn công mỗi tháng, trong khi 22% đối phó với khoảng từ 51 đến 200 cuộc tấn công mỗi tháng.
Roey Eliyahu, Giám đốc điều hành và đồng người sáng lập Salt Security cho biết: "Trong nền kinh tế kỹ thuật số ngày nay, các API là cổng trực tiếp dẫn đến dữ liệu và tài sản quan trọng nhất của tổ chức. Được xây dựng để cho phép khách hàng và đối tác, các API này tạo ra rủi ro bằng cách cung cấp một con đường cho tin tặc theo dõi. Khi các API đã phát triển về số lượng và chức năng, chúng đã trở thành mục tiêu hấp dẫn hơn bao giờ hết đối với tin tặc, làm tăng số lượng và mức độ tinh vi của các cuộc tấn công API".
Nghiên cứu đưa ra những thông tin chi tiết thu thập được từ cuộc khảo sát khoảng 200 CIO hoặc những người liên quan đến an ninh mạng và DevOps cũng như dữ liệu ẩn danh từ khách hàng của Salt Security.
Nhìn chung, Salt nhận thấy rằng trong năm 2020, tổng số lượng cuộc gọi API trung bình hàng tháng cho mỗi khách hàng đã tăng từ 272 triệu cuộc gọi mỗi tháng lên 410 triệu vào cuối năm 2020, chủ yếu thông qua một số kết hợp các chức năng mới trong các API hiện có, các điểm cuối API mới và các API mới.
Nhưng với sự gia tăng các lệnh gọi đã dẫn đến sự gia tăng tương ứng về lưu lượng truy cập độc hại được nhắm mục tiêu vào các API, Salt Security đo lường mức tăng 211% về lưu lượng truy cập độc hại vào năm 2020. Lượng truy cập độc hại ở mức thấp, tuy nhiên tỷ lệ lưu lượng truy cập độc hại đã tăng từ 0,45% của tất cả lưu lượng truy cập API của khách hàng đến 1,40%.
Đáng báo động là cuộc khảo sát cho thấy, hơn 25% các tổ chức xây dựng API không có chiến lược bảo mật cho API nào cả. Các API trong môi trường sản xuất này là điểm đáng lo ngại, với hơn 50% người được khảo sát đã tìm thấy lỗ hổng bảo mật trong đó. Kết quả khảo sát cũng lưu ý rằng, các loại lỗ hổng bảo mật này thường không được khắc phục.
Những lo ngại về bảo mật API cũng là lý do tại sao các tổ chức trì hoãn việc triển khai các ứng dụng mới (66% số người được khảo sát).
Trong 12 tháng qua, 54% người được khảo sát cho biết họ đã tìm thấy lỗ hổng trong các API trong môi trường sản xuất và 48% cho biết họ gặp vấn đề về xác thực. Những người khác nêu vấn đề với bot, khai thác dữ liệu và tấn công từ chối dịch vụ.
Nghiên cứu lưu ý rằng, tất cả khách hàng của công ty bảo mật đã thấy các cuộc tấn công có thể vượt qua các cổng WAF và cổng API nhưng hơn một nửa số người được khảo sát trong cuộc khảo sát cho biết họ sử dụng cảnh báo từ các cổng WAF hoặc cổng API để xác định các cuộc tấn công API.
Gần 60% số người được khảo sát cũng cho biết họ sử dụng tệp nhật ký để xác định các cuộc tấn công. Tuy nhiên, 1/10 số người được khảo sát cho biết họ không có cách để xác định bất kỳ cuộc tấn công API nào. Gần 80% cho rằng hệ thống nhận dạng tấn công API hiện tại của họ không có hiệu quả đáng kể.
Các nhà nghiên cứu cho biết: “Tin xấu là một tỷ lệ cao những người được khảo sát đang thực thi các API mà không có chiến lược bảo mật đi kèm. Tin tốt là 2/3 số người được khảo sát nói rằng các nhóm bảo mật của họ tập trung vào các mối đe dọa hàng đầu của OWASP API Security Top 10. Có quá nhiều tổ chức đã không chuyển trọng tâm của OWASP API Top 10 thành chiến lược bảo mật API".
Theo nghiên cứu, các tổ chức cũng đang gặp vấn đề trong việc tạo ra kho API. Báo cáo cho biết tài liệu API thường bị thiếu, không đầy đủ hoặc không chính xác và nhận thấy rằng 83% người được khảo sát thiếu tin tưởng vào kho API của họ. Trong số các khách hàng của Salt Security, người ta thường tìm thấy số lượng API gấp 8 lần số lượng API mà doanh nghiệp có trong hồ sơ.
Postman và Swagger là các cơ chế phổ biến nhất được sử dụng để kiểm kê các API, với 42% người được khảo sát nói rằng họ sử dụng Postman trong khi 41% sử dụng Swagger. 28% khác cho biết họ đã sử dụng OpenAPI Generator.
Do những lo ngại được bày tỏ về hàng tồn kho API, có một mối lo ngại tương ứng về các API lỗi thời và "zombie". Gần 60% cho rằng đây là rủi ro liên quan đến bảo mật API mà họ lo ngại, bên cạnh lo ngại về việc chiếm đoạt tài khoản hoặc sử dụng sai mục đích.
Hơn 60% người được khảo sát cho biết một trong những công cụ có giá trị nhất mà họ tìm kiếm là khả năng xác định API nào tiết lộ thông tin nhận dạng cá nhân và phổ biến thứ hai là khả năng ngăn chặn các cuộc tấn công hoàn toàn.
Gần 85% chuyên gia trả lời khảo sát cho biết họ thiếu tự tin về việc biết API nào tiết lộ thông tin nhận dạng cá nhân (PII).
Gần 1/4 các tổ chức thừa nhận họ không có cách nào để biết API nào tiết lộ PII, kết quả trực tiếp của việc kiểm kê API không đầy đủ và tài liệu không chính xác. Phần lớn các tổ chức phụ thuộc vào tài liệu do nhà phát triển tạo hoặc các cổng API để hiểu mức độ hiển thị PII và rõ ràng là thiếu tự tin rằng những cách tiếp cận này là hoàn chỉnh và cung cấp đủ thông tin chi tiết".
"Hầu hết các tổ chức có cổng API đều có nhiều nền tảng, thường là kết hợp các nhà cung cấp và không có quản lý API hợp nhất, gây khó khăn cho việc có được cái nhìn rõ ràng về tất cả các API trong môi trường sản xuất".
Việc thăm dò khách hàng của Salt Security cho thấy, 91% API tiết lộ một số loại dữ liệu nhạy cảm, từ thông tin tài khoản cơ bản đến thông tin nhận dạng cá nhân. Trong cuộc khảo sát, 22% cho biết họ không biết API nào tiết lộ thông tin nhận dạng cá nhân và 57% cho biết họ dựa vào tài liệu đến từ các nhà phát triển.
Khi được hỏi, ai chịu trách nhiệm giám sát tính bảo mật của các API, 25% cho biết đó là công việc của các nhà phát triển tại doanh nghiệp, 21% cho biết nó nằm dưới sự kiểm soát của nhóm DevSecOps và 14% nói rằng họ có một nhóm API.
Eliyahu (Giám đốc điều hành và đồng người sáng lập Salt Security) nói thêm: "Chúng tôi đã biên soạn Báo cáo trạng thái bảo mật API đầu tiên của ngành để hiểu rõ hơn về trải nghiệm doanh nghiệp đối với API ngày nay. Nghiên cứu làm rõ rằng các phương pháp tiếp cận hiện tại của các công ty để bảo mật API có những lỗ hổng khiến họ gặp rủi ro. Nó cũng nhấn mạnh việc các tổ chức cần có cách tiếp cận mới đối với bảo mật API nếu họ muốn tiếp tục đổi mới một cách an toàn và duy trì tính cạnh tranh".
Nguyễn Anh Tuấn (theo TechRepublic)
09:00 | 19/02/2019
08:00 | 30/09/2021
15:00 | 22/12/2020
07:00 | 20/05/2022
16:00 | 13/01/2021
12:00 | 27/10/2021
16:00 | 02/05/2024
Theo báo cáo từ Nhóm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA), nhóm tin tặc đến từ Nga là Sandworm đã thực hiện một cuộc tấn công mạng để làm gián đoạn hoạt động tại khoảng 20 cơ sở hạ tầng quan trọng ở Ukraine.
16:00 | 19/04/2024
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
07:00 | 16/01/2024
Tọa đàm “Nâng cao sức phòng thủ cho các mạng công nghệ thông tin trọng yếu quốc gia” được tổ chức vào ngày 19/1 trên Tạp chí An toàn thông tin điện tử sẽ giúp quý độc giả hiểu rõ hơn về thực trạng mất an toàn thông tin hiện nay đối với các mạng công nghệ thông tin trọng yếu quốc gia. Từ đó, đề xuất các giải pháp để nâng cao sức phòng thủ cho hệ thống mạng công nghệ thông tin quan trọng này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024
