Sau hơn 20 năm hình thành, giờ đây nó đã chính thức: API có ở khắp mọi nơi. Trong một cuộc khảo sát năm 2021, 73% doanh nghiệp báo cáo rằng họ đã xuất bản hơn 50 API, và con số này không ngừng tăng lên.
API có những vai trò quan trọng trong hầu hết mọi ngành công nghiệp ngày nay và tầm quan trọng của chúng ngày càng tăng đều đặn, khi chúng đi đầu trong các chiến lược kinh doanh. Điều này không có gì ngạc nhiên: API kết nối liền mạch các ứng dụng và thiết bị khác nhau, mang lại sự hiệp lực và hiệu quả kinh doanh chưa từng được chứng kiến trước đây.
Tuy nhiên, API có lỗ hổng giống như bất kỳ thành phần nào khác của phần mềm. Thêm vào đó, nếu chúng không được kiểm tra nghiêm ngặt từ quan điểm bảo mật, chúng cũng có thể giới thiệu một loạt các bề mặt tấn công hoàn toàn mới và khiến bạn phải đối mặt với những rủi ro chưa từng có. Nếu bạn đợi cho đến khi quá trình sản xuất phát hiện ra các lỗ hổng API, bạn có thể phải chịu sự chậm trễ đáng kể.
Các API hấp dẫn đối với những kẻ tấn công, không chỉ các doanh nghiệp
Hãy nhớ rằng các API không chỉ đơn giản là kết nối các ứng dụng của bạn; chúng thay đổi chức năng theo những cách không thể đoán trước. Nhiều điểm yếu duy nhất mà các API có thể đưa vào đều được tin tặc biết đến, những kẻ đã phát triển các phương pháp khác nhau để tấn công các API của bạn nhằm truy cập vào dữ liệu và chức năng cơ bản.
Theo API OWASP Top 10, không có gì lạ khi những người dùng hợp pháp, đã được xác thực khai thác API bằng cách sử dụng các lệnh gọi có vẻ hợp pháp nhưng thực sự nhằm mục đích thao túng API. Những kiểu tấn công này, nhằm vận dụng logic nghiệp vụ và khai thác các sai sót trong thiết kế, hấp dẫn đối với những kẻ tấn công.
Bạn thấy đấy, mọi API là duy nhất và độc quyền. Do đó, các lỗi và lỗ hổng phần mềm của nó là duy nhất và “không xác định”. Loại lỗi dẫn đến các cuộc tấn công ở cấp logic nghiệp vụ hoặc quy trình nghiệp vụ đặc biệt khó xác định là người bảo vệ.
Bạn có dành đủ sự quan tâm cho việc kiểm tra bảo mật API không?
Bảo mật Shift-left đã được chấp nhận rộng rãi trong nhiều tổ chức, cho phép thử nghiệm liên tục trong suốt quá trình phát triển. Tuy nhiên, kiểm tra bảo mật API thường rơi vào tình trạng sơ hở hoặc được thực hiện mà không có sự hiểu biết đầy đủ về các rủi ro liên quan. Tại sao vậy? Chà, có nhiều lý do:
- Các công cụ kiểm tra bảo mật ứng dụng hiện tại là chung chung và nhắm vào các lỗ hổng ứng dụng web truyền thống và không thể xử lý hiệu quả các phức tạp logic nghiệp vụ của một API.
- Vì các API không có giao diện người dùng, nên các công ty thường thử nghiệm web, ứng dụng và thiết bị di động một cách riêng biệt – nhưng không phải chính API.
- Các API kiểm tra có thể chuyên sâu theo cách thủ công và không thể mở rộng khi bạn có hàng trăm API.
- Kinh nghiệm và kiến thức chuyên môn có liên quan có thể bị thiếu hụt, vì kiểm tra API phức tạp hơn các loại kiểm tra khác
- Với các API kế thừa, bạn có thể không biết về các API đã được triển khai hoặc tài liệu.
Vì vậy, mặc dù bảo mật lệch trái đã được nhiều tổ chức nói chung coi trọng, nhưng kiểm tra bảo mật API lại thường bị gạt ra khỏi bức tranh lớn của DevSecOps.
Điều này thật đáng tiếc, vì các lỗ hổng API cần nhiều thời gian để khắc phục hơn các lỗ hổng ứng dụng truyền thống – trong một cuộc khảo sát gần đây, 63% người được hỏi báo cáo rằng cần nhiều thời gian hơn để khắc phục các lỗ hổng API. Con số này cũng có khả năng tăng lên do sự chấp nhận nhanh chóng của các ứng dụng và sự phụ thuộc vào các API.
Mặc dù hầu hết các nhà lãnh đạo bảo mật đều nhận thức được tầm quan trọng của kiểm tra bảo mật API, chỉ dưới một nửa nói rằng họ chưa có giải pháp kiểm tra bảo mật API hoàn toàn tích hợp vào đường ống phát triển của họ.
Tại sao các phương pháp kiểm tra bảo mật phổ biến không bao gồm các API?
Là bước đầu tiên hướng tới một cách tiếp cận toàn diện, điều quan trọng là phải kiểm tra các thái độ phổ biến nhất đối với kiểm thử bảo mật ứng dụng ngày nay: kiểm thử bảo mật tĩnh và kiểm tra bảo mật động.
Kiểm tra bảo mật tĩnh thực hiện cách tiếp cận hộp trắng, tạo các bài kiểm tra dựa trên chức năng đã biết của ứng dụng bằng cách xem xét thiết kế, kiến trúc hoặc mã, bao gồm nhiều đường dẫn phức tạp mà dữ liệu có thể thực hiện khi nó đi qua ứng dụng.
Kiểm tra bảo mật động thực hiện cách tiếp cận hộp đen, tạo các bài kiểm tra dựa trên hiệu suất dự kiến của ứng dụng với một tập hợp đầu vào cụ thể, bỏ qua quá trình xử lý nội bộ hoặc kiến thức về mã cơ bản.
Khi nói đến API, các nhà phát triển và nhóm bảo mật thường tranh luận về phương pháp nào trong hai phương pháp là phù hợp nhất, với lý do hàng đầu có lợi cho mỗi phương pháp:
- Kiểm tra tĩnh là phương pháp duy nhất có ý nghĩa: vì không có giao diện người dùng cho các API, bạn phải biết điều gì đang xảy ra bên trong logic nghiệp vụ.
- Thử nghiệm động là tất cả những gì cần thiết, vì các thử nghiệm đơn vị sử dụng các mô hình tĩnh và đã được hoàn thành ở giai đoạn trước của đường ống.
Xin lỗi vì đã làm hỏng bữa tiệc, nhưng cả hai điểm này chỉ đúng một phần. Trên thực tế, cả hai cách tiếp cận đều cần thiết để đảm bảo phạm vi bao phủ rộng rãi và xử lý nhiều tình huống có thể xảy ra. Đặc biệt là với sự gia tăng hiện nay của các cuộc tấn công dựa trên API, bạn không thể có bất kỳ cơ hội nào khi nói đến khả năng mở rộng, độ sâu và tần suất.
Kiểm tra bảo mật API ‘hộp xám’ có thể cung cấp một giải pháp thay thế thú vị. Vì không có giao diện người dùng, nên việc có kiến thức về hoạt động bên trong của ứng dụng (ví dụ: tham số, loại trả về) có thể giúp bạn tạo hiệu quả các bài kiểm tra chức năng tập trung vào logic nghiệp vụ.
Lý tưởng nhất là việc kết hợp các khía cạnh của kiểm tra bảo mật API sẽ giúp bạn tiến gần hơn đến việc tạo ra một giải pháp hộp xám bù đắp cho những điểm yếu của từng phương pháp tiếp cận riêng lẻ này. Cách tiếp cận logic nghiệp vụ như vậy sẽ kiểm tra kết quả của các loại thử nghiệm khác một cách thông minh và có thể thích ứng để áp dụng các thử nghiệm cải tiến, tự động hoặc thủ công.
Đã đến lúc cho Phương pháp tiếp cận kiểm tra bảo mật API logic kinh doanh
Nhận thức về ngành ngày càng tăng xung quanh sự cần thiết phải bảo mật các API trong suốt vòng đời của chúng, đặt các API ở vị trí trước và trung tâm trong các biện pháp kiểm soát bảo mật của bạn.
Để làm được điều này, bạn phải tìm cách đơn giản hóa và hợp lý hóa việc kiểm tra bảo mật API của tổ chức, tích hợp và thực thi các tiêu chuẩn kiểm tra bảo mật API trong chu kỳ phát triển. Bằng cách này, cùng với việc giám sát thời gian chạy, nhóm bảo mật có thể có khả năng hiển thị tất cả các lỗ hổng đã biết ở một nơi. Như một phần thưởng, việc thực hiện các bước để kiểm tra bảo mật API lệch trái sẽ cắt giảm chi phí và đẩy nhanh thời gian khắc phục.
Hơn nữa, khi quy trình kiểm tra của bạn được tự động hóa, bạn cũng sẽ có hỗ trợ tích hợp để kiểm tra lại: chu kỳ kiểm tra, ngay lập tức, kiểm tra lại và triển khai, giữ cho đường ống của bạn hoạt động trơn tru và tránh tắc nghẽn hoàn toàn.
Phương pháp tiếp cận logic nghiệp vụ để kiểm tra bảo mật API có thể nâng cao sự hoàn thiện của chương trình Bảo mật API vòng đời đầy đủ của bạn và cải thiện tư thế bảo mật của bạn.
Tuy nhiên, cách tiếp cận hiện đại này yêu cầu một công cụ có thể học theo thời gian, cải thiện hiệu suất của nó theo thời gian bằng cách nhập dữ liệu thời gian chạy để hiểu sâu hơn về cấu trúc và logic của ứng dụng.
Điều này sẽ liên quan đến việc tạo ra một công cụ kiểm tra thích ứng có thể học khi nó hoạt động, phát triển kiến thức sâu hơn về hành vi của API để thiết kế ngược các hoạt động ẩn bên trong của nó một cách thông minh. Sử dụng dữ liệu thời gian chạy và thông tin logic nghiệp vụ, bạn có thể tận hưởng những gì tốt nhất của cả hai thế giới – cách tiếp cận hộp đen và trắng hướng tới khả năng hiển thị và kiểm soát nâng cao với tự động hóa.
Bọc lại
Ngoài sự phổ biến ngày càng tăng của chúng, các API cũng tạo ra lỗ hổng lớn hơn cho các ứng dụng web. Một số lượng lớn các tổ chức thậm chí không biết mức độ của các API và lỗ hổng bảo mật của họ. Các điểm yếu đã biết và chưa biết có thể dễ dàng bị tin tặc thăm dò thông qua các API có sẵn.
Tuy nhiên, kiểm tra bảo mật API thường bị bỏ qua và xử lý giống như các ứng dụng web. Hầu hết các phương pháp kiểm tra, chẳng hạn như kiểm tra hộp đen và hộp trắng, không có lợi cho việc kiểm tra API.
Sự kết hợp giữa xử lý ngôn ngữ tự nhiên và trí tuệ nhân tạo (AI) cung cấp một tùy chọn “hộp xám” khả thi để tự động hóa, mở rộng quy mô và đơn giản hóa quy trình phức tạp của kiểm tra bảo mật API.
