API là một phần cơ bản của các mẫu phần mềm hiện đại như kiến trúc microservice (các dịch vụ độc lập), cho phép các ứng dụng phần mềm tương tác với nhau. Bảo mật API là quá trình bảo vệ API khỏi các cuộc tấn công. Do các API được sử dụng rất phổ biến và cho phép truy cập vào các chức năng cũng như dữ liệu nhạy cảm của phần mềm, nên API đang trở thành mục tiêu chính của những kẻ tấn công. Vì vậy, các tổ chức/doanh nghiệp cần phải thường xuyên kiểm tra các API để xác định và xử lý các lỗ hổng bằng những biện pháp bảo mật tốt nhất.
Các API cũng đang được nhắm mục tiêu vì dữ liệu truy cập thông qua chúng có thể mang lại lợi nhuận cao cho tin tặc. Bằng cách thực hiện các nguyên tắc cơ bản và các giải pháp tích hợp phù hợp, các tổ chức/doanh nghiệp có thể đảm bảo an toàn cho hệ thống của họ trước nhiều hình thức tấn công.
Những kẻ xấu có thể nhắm mục tiêu API thông qua nhiều phương pháp khác nhau. Cụ thể:
Tấn công DDoS: là cách gửi một lượng lớn yêu cầu truy cập đến một trang web từ nhiều nguồn khác nhau cùng một lúc, với mục đích làm cho trang web không khả dụng hoặc chậm đi rất nhiều, từ đó làm cạn kiệt tài nguyên và có khả năng dẫn đến sự cố khi cuộc tấn công áp đảo cả API và hệ thống phụ trợ cung cấp dữ liệu cho API.
Tấn công Man in the Middle - MITM: Kẻ tấn công có thể nghe trộm, thậm chí chặn và kiểm soát toàn bộ quá trình giao tiếp giữa hai bên để người dùng tin rằng họ vẫn đang trực tiếp liên lạc với nhau, từ đó đánh cắp hoặc sửa đổi dữ liệu riêng tư.
Quản lý token hoặc khóa API kém: Mã token và khóa API là thông tin xác thực hợp lệ cấp quyền truy cập cho người dùng. Nếu bị xâm phạm, chúng có thể bị các hacker sử dụng trái phép để truy cập vào các hệ thống riêng tư.
Thông tin đăng nhập không được mã hóa: Tên người dùng và mật khẩu thường được mã hóa cứng thành các tệp cấu hình không được mã hóa, khiến chúng trở nên dễ bị đánh cắp hơn. Lợi dụng điều này, tin tặc cũng tận dụng để khai thác nhiều hơn.
Bằng cách thực hành các nguyên tắc cơ bản phù hợp, các tổ chức/doanh nghiệp có thể sử dụng tích hợp API và các công nghệ tương tự để giữ an toàn cho hệ thống của họ trước nhiều hình thức tấn công ngày càng tinh vi. Dưới đây là một số phương pháp giúp các tổ chức/doanh nghiệp bảo mật API hiệu quả:
Đánh giá các quy trình hoạt động và cơ sở hạ tầng của tổ chức
Với việc sử dụng ngày càng nhiều các API và microservice được kết nối trên nhiều cài đặt tại chỗ và đám mây khác nhau, việc tìm ra các điểm yếu trở nên khó khăn, do đó các tổ chức/doanh nghiệp cần phải đánh giá và xem xét thường xuyên những yếu tố sau:
API hướng tới khách hàng: Bằng cách tận dụng các API, các công ty có thể chia sẻ thông tin với khách hàng mà không cần phải cho họ truy cập vào cơ sở dữ liệu hoặc hệ thống cơ bản của mình. Các tổ chức/doanh nghiệp có thể giới hạn những gì khách hàng có thể truy cập, chỉ tiết lộ các phân đoạn dữ liệu cụ thể. Việc sử dụng API để chỉ hiển thị một phần cơ sở dữ liệu và đảm bảo rằng người dùng không thể truy cập toàn bộ hệ thống, nhưng dữ liệu được tiết lộ vẫn phải được bảo vệ.
API nội bộ: Các nhóm CNTT phải đảm bảo rằng họ đồng bộ hóa các dịch vụ thông qua API để chỉ cung cấp quyền truy cập cần thiết, thay vì cho phép mọi người trong mọi bộ phận truy cập vào nhiều loại dịch vụ, điều này có thể gây khó khăn đối với vấn đề quản trị.
Nếu bỏ qua việc xem xét các điểm yếu tiềm ẩn trong cơ sở hạ tầng của mình, các tổ chức/doanh nghiệp sẽ có nguy cơ bị tấn công, cả từ bên trong và bên ngoài tổ chức của mình.
Vì vậy điều quan trọng nhất là tổ chức/doanh nghiệp cần tạo một hệ thống các chính sách và tiêu chuẩn phối hợp với các nhóm tuân thủ và bảo mật nội bộ. Một số tổ chức/doanh nghiệp cũng có thể xem xét các nghĩa vụ pháp lý và đảm bảo các biện pháp bảo mật được cập nhật và tuân thủ.
Đánh giá rủi ro API của tổ chức
Để bảo mật API cần thực hiện đánh giá rủi ro cho tất cả các API hiện tại của tổ chức/doanh nghiệp. Thiết lập các biện pháp để đảm bảo chúng đáp ứng các chính sách bảo mật và không dễ bị tấn công trước các rủi ro đã biết.
Đánh giá rủi ro phải xác định tất cả các hệ thống và dữ liệu bị ảnh hưởng nếu API bị xâm phạm, sau đó vạch ra kế hoạch xử lý và các biện pháp kiểm soát cần thiết để giảm mọi rủi ro xuống mức có thể chấp nhận được.
Đảm bảo rằng người dùng chỉ có thể truy cập dữ liệu thích hợp
Các phòng, ban và người dùng trong một tổ chức/doanh nghiệp yêu cầu các mức độ truy cập khác nhau vào hệ thống và dữ liệu của tổ chức và quyền truy cập này nên được cấp theo vị trí, công việc. Chẳng hạn, một nhà phát triển thường không yêu cầu quyền truy cập đầy đủ vào hệ thống kế toán hoặc nhân sự. Bằng cách hạn chế quyền truy cập, khả năng thông tin cá nhân bị tiết lộ sẽ thấp hơn. Tổ chức/doanh nghiệp cũng có thể thiết lập thông tin đăng nhập cụ thể để cấp cho người dùng quyền truy cập tạm thời vào dịch vụ mà họ thường không sử dụng.
Yêu cầu xác thực đa yếu tố
Thông tin đăng nhập liên quan đến tên người dùng và mật khẩu không còn đủ để đảm bảo an toàn, do đó cần bắt buộc sử dụng các tiêu chuẩn như xác thực hai yếu tố (2FA) hoặc xác thực an toàn bằng OAuth (một cách xác thực mở). Để đạt được mục tiêu này, hãy đảm bảo hệ thống của tổ chức/doanh nghiệp có thể xác thực người dùng bằng OAuth 2.0 với điểm cuối là nhà cung cấp danh tính.
Lưu giữ khóa API cẩn thận
Các tổ chức/doanh nghiệp cần ghi lại tất cả các API trong sổ đăng ký để xác định các đặc điểm như tên, mục đích, tải trọng, cách sử dụng, quyền truy cập, ngày hoạt động, ngày ngừng hoạt động và chủ sở hữu. Ghi chi tiết thông tin cần thiết như ai, cái gì và khi nào sẽ giúp đáp ứng các yêu cầu tuân thủ và kiểm toán, cũng như hỗ trợ phân tích trong trường hợp xảy ra sự cố bảo mật.
Khóa API xác định và xác minh quyền truy cập cho ứng dụng hoặc trang web thực hiện lệnh gọi API. Chúng cũng có thể chặn hoặc điều tiết các cuộc gọi được thực hiện tới API và xác định các kiểu sử dụng.
Khóa API kém an toàn hơn mã thông báo xác thực và yêu cầu phải quản lý cẩn thận. Do đó, cần tránh nhúng các khóa API trực tiếp vào mã của chúng vì nó có thể vô tình bị lộ. Tốt hơn hết là sử dụng dịch vụ quản lý để bảo vệ và quản lý các khóa API của ứng dụng.
Ngay cả khi đã áp dụng các biện pháp này, hãy luôn xóa các khóa không cần thiết để giảm thiểu khả năng bị tấn công và tạo lại các khóa theo định kỳ, đặc biệt nếu nghi ngờ đã xảy ra vi phạm.
Không chỉ các API có nguy cơ tiềm ẩn đối với bảo mật. Mọi thứ đều có thể trở thành mục tiêu của kẻ xấu. Do đó, điều quan trọng là phải ưu tiên bảo mật và áp dụng mô hình “zero trust” để có thể bảo vệ dữ liệu của tổ chức/doanh nghiệp một cách hiệu quả cũng như ngăn chặn một cuộc tấn công mạng tốn kém có thể xảy ra.
Trần Thanh Tùng
(theo helpnetsecurity)
11:00 | 07/01/2021
07:00 | 15/09/2022
10:00 | 21/02/2023
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
14:00 | 14/08/2023
Xu hướng số hóa đã mang lại nhiều lợi ích cho ngành công nghiệp sản xuất, nhưng nó cũng bộc lộ những lỗ hổng trong hệ thống công nghệ vận hành (Operational Technology - OT) được sử dụng trong những môi trường này. Khi ngày càng có nhiều hệ thống điều khiển công nghiệp (Industrial Control System - ICS) được kết nối với Internet, nguy cơ tấn công mạng nhằm vào các hệ thống này sẽ càng tăng lên. Nếu các hệ thống này bị xâm phạm, nó có thể dẫn đến những hậu quả nghiêm trọng, chẳng hạn như ảnh hưởng sản xuất, bị mất cắp dữ liệu, hư hỏng vật chất đối với thiết bị, nguy hiểm cho môi trường làm việc và thậm chí gây hại đến tính mạng con người. Chính vì vậy, việc đưa ra các lưu ý giúp tăng cường bảo mật OT trong môi trường công nghiệp sản xuất trở nên vô cùng quan trọng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024
