Giải pháp hiệu quả để giải quyết vấn đề bảo mật API

Vân Tước
11/03/2022 15:20
D

Cùng với sức mạnh và sự phổ biến của API, nhiều tổ chức, doanh nghiệp đang gặp phải những thách thức trong vấn đề bảo mật. Hiểu được những thách thức đặc biệt liên quan đến bảo mật API và có các chiến lược cùng giải pháp phù hợp sẽ giúp việc phát hiện và khắc phục các lỗ hổng cũng như bảo mật API một cách hiệu quả.

Sự gia tăng đột biến về API, cả về số lượng và lưu lượng truy cập, đã khiến các nhóm bảo mật gặp nhiều khó khăn trong việc quan sát hiệu quả và khắc phục các lỗ hổng.

Từ một công cụ, giao thức kết nối được sử dụng với mục đích là kết nối giữa các ứng dụng, dịch vụ Internet, IoT,… đến nay API (Application Programming Interface) đã phát triển thành một trong những thành phần quan trọng để vận hành hệ thống mạng và cũng trở thành một trong những nguy cơ lớn về an toàn thông tin (ATTT) mà tổ chức, doanh nghiệp có thể đối mặt.

bảo mật API, lỗ hỏng bảo mật, giải pháp bảo mật API, ATTT

Khi các doanh nghiệp đẩy mạnh chiến lược đổi mới và bắt tay vào hành trình chuyển đổi số (CĐS), sự phụ thuộc của họ vào API sẽ tăng lên mỗi ngày. Bên cạnh đó, việc sử dụng đám mây công cộng và các kiến trúc ứng dụng hiện đại cũng đã khiến việc sử dụng API tăng lên nhanh chóng. Điều đó cũng đồng nghĩa với việc, các API ngày càng quan trọng đối với doanh nghiệp, do đó, bất kể một lỗi thiết kế hoặc cấu hình sai có thể khiến thông tin nhạy cảm và danh tiếng của tổ chức, doanh nghiệp gặp rủi ro.

Ngoài ra, rất nhiều doanh nghiệp không được trang bị đầy đủ để đối mặt với các yêu cầu mới về bảo mật ứng dụng và API. Hầu hết chỉ biết được một phần API mà họ đang sử dụng và thiếu công cụ để theo dõi liên tục những API mới hoặc những API đã thay đổi do có phiên bản hoặc bản

Đó là lý do tại sao Gartner và một số công ty phân tích khác đã xác định API là biên giới mới cho tội phạm mạng cũng như lý do tại sao các nhóm bảo mật phải đặt bảo mật API trở thành ưu tiên hàng đầu.

Từ thực tế đó, Filip Verloy, nhà truyền bá công nghệ khu vực châu Âu, Trung Đông và châu Phi của Công ty bảo mật API Noname Security đã đưa ra một số cách giúp doanh nghiệp giải quyết vấn đề bảo mật API một cách hiệu quả.

Đầu tư các giải pháp bảo mật API hiện đại

Hiện nay, hầu hết các tổ chức thực hiện cách tiếp cận chủ động để bảo mật API với nhiều tường lửa ứng dụng web (WAF) và các cổng API để bảo mật các ứng dụng web cũng như quản lý các API và nội dung API. Tuy nhiên, chỉ với những công cụ này là không đủ để đạt hiệu quả một cách tối ưu trong bảo mật API. Hơn nữa, các giải pháp bảo mật truyền thống chỉ quét lưu lượng truy cập và tìm kiếm hành vi bất thường, sử dụng các mẫu tĩnh phù hợp mà không có ngữ cảnh cụ thể của API.

Để có thể bảo vệ hoàn toàn dữ liệu và môi trường số khỏi tất cả các rủi ro liên quan đến API, các tổ chức, doanh nghiệp nên đầu tư vào các giải pháp bảo mật API hiện đại để xác định cấu hình sai, đồng thời tận dụng các mô hình dựa trên trí tuệ nhân tạo (AI) và học máy để hiểu được cách API hoạt động trong thời gian thực.

Các nhóm phát triển cũng nên thực hiện phương pháp dịch chuyển sang trái (Shift Left - di chuyển bảo mật từ bên phải (phần cuối) sang bên trái (phần đầu) của quy trình), thử nghiệm trên các API để xác định và khắc phục các cấu hình sai và lỗ hổng bảo mật. Nhóm có thể thao tác thủ công các yêu cầu đối với API, chèn các chuỗi fuzzing (một kỹ thuật kiểm thử hộp đen giúp phát hiện lỗi của phần mềm) vào yêu cầu hoặc tự động hóa nó thông qua giải pháp kiểm tra bảo mật API.

Chủ động triển khai hệ thống quản lý và nhận dạng API

Hầu hết các doanh nghiệp không biết họ có bao nhiêu API. Không có gì lạ khi ở nhiều tổ chức có khoảng 30% API không xác định hoặc không được quản lý. Việc không có một hệ thống quản lý API hoàn chỉnh có thể gây ra những rủi ro lớn cho các tổ chức. 

Tất cả các vấn đề như cấu hình sai, hành vi đáng ngờ và tấn công mạng đều có thể xảy ra mà công ty không biết. Khi các tổ chức thiếu khả năng hiển thị các API của họ sẽ dẫn đến tình trạng thiếu thông tin chi tiết về việc có bao nhiêu API đang giao tiếp với những thông tin nhạy cảm hoặc bao nhiêu API đang giao tiếp với web mở.

Để khắc phục vấn đề này, các tổ chức, doanh nghiệp cần chủ động tìm và hệ thống lại tất cả các API, bao gồm cả các API cũ và giả mạo, cũng như lập danh mục tất cả dữ liệu và siêu dữ liệu của các API.

Bằng cách có được một hệ thống API hoàn chỉnh, với phân loại dữ liệu và chi tiết cấu hình, các tổ chức, doanh nghiệp có thể xác định được các cấu hình sai và lỗ hổng bảo mật dễ bị tấn công. Từ đó, có thể bắt đầu đưa ra chiến lược và cách thức áp dụng các giải pháp bảo mật hiệu quả.

Thiết lập quyền sở hữu để loại bỏ rủi ro API

Với rất nhiều nhóm đóng vai trò trong việc tạo, sử dụng và quản lý API, không có gì ngạc nhiên khi có sự chồng chéo về việc nhóm nào chịu trách nhiệm về vấn đề bảo mật API. Khi hầu hết các DN có cấu trúc API dành riêng cho tổ chức và nhóm của họ, các cấu trúc này thường được quản lý lỏng lẻo và không được hiểu rõ. 

Để giúp xác định, khắc phục và giảm thiểu các lỗ hổng bảo mật API, doanh nghiệp cần có cấu trúc quyền sở hữu rõ ràng về bảo mật API. Cấu trúc rõ ràng này sẽ giúp đảm bảo các lỗ hổng không vô tình bị bỏ qua và tất cả các nhóm đang hợp tác hiệu quả với nhau để loại bỏ rủi ro API.

Chọn giải pháp bảo mật API phù hợp

Với hầu hết các tổ chức bảo mật, một số nhà cung cấp đã đưa ra các giải pháp tốt nhất và mới nhất để giải quyết những rủi ro liên quan đến API. Tuy nhiên, khi chọn một giải pháp bảo mật API, các tổ chức, DN cũng cần xem xét những vấn đề sau:

Triển khai tại chỗ hoặc SaaS: Điều quan trọng là phải chọn một sản phẩm mà DN có thể triển khai tại chỗ hoặc trên đám mây. Điều này đảm bảo dữ liệu, bao gồm cả dữ liệu nhạy cảm, không rời khỏi môi trường, hoặc với tư cách là SaaS, nhóm bảo mật có thể quản lý nhiều đám mây và phiên bản từ một cổng thông tin duy nhất.

Tích hợp API dễ dàng với đám mây, WAF và các cổng kết nối: Sản phẩm phải kết nối được với cơ sở hạ tầng hiện có của tổ chức cũng như nâng cao khả năng bảo mật của các hệ thống khác, và đảm bảo không xung đột với các hệ thống hiện có của DN.

Tránh các kiến trúc dựa trên tác nhân: Các giải pháp kiến trúc ngoài băng tần cung cấp khả năng hiển thị sâu hơn và ít xung đột hơn các giải pháp truyền thống. Môi trường ưu tiên đám mây và dựa trên API thường gặp khó khăn với các giải pháp nội tuyến và kiến trúc dựa trên tác nhân là một lối tư duy kế thừa có thể gây ra nhiều vấn đề phức tạp và rủi ro.

Theo Tạp chí Điện tử / SCMagazine

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Cảnh báo không quảng cáo trên hàng trăm trang web vi phạm

Cảnh báo không quảng cáo trên hàng trăm trang web vi phạm

Viettel Solutions hợp tác với Palo Alto Networks về an ninh mạng

Viettel Solutions hợp tác với Palo Alto Networks về an ninh mạng

Đảm bảo an toàn thông tin trong chuyển đổi số

Đảm bảo an toàn thông tin trong chuyển đổi số

Dự báo về an ninh mạng năm 2024

Dự báo về an ninh mạng năm 2024

VNPT Cyber Immunity chia sẻ kinh nghiệm và giải pháp bảo mật

VNPT Cyber Immunity chia sẻ kinh nghiệm và giải pháp bảo mật

Ghi nhận 492.105 địa chỉ IP của Việt Nam nằm trong mạng botnet

Ghi nhận 492.105 địa chỉ IP của Việt Nam nằm trong mạng botnet

Chrome ngừng hỗ trợ cookie bên thứ ba

Chrome ngừng hỗ trợ cookie bên thứ ba

Visa cảnh báo: người tiêu dùng cần thận trọng trong mùa mua sắm cuối năm

Visa cảnh báo: người tiêu dùng cần thận trọng trong mùa mua sắm cuối năm

91% vụ lừa đảo trực tuyến liên quan đến ngân hàng

91% vụ lừa đảo trực tuyến liên quan đến ngân hàng

Tin mới cập nhật

Keysight giới thiệu công cụ đo đối chuẩn hàng đầu cho hạ tầng trí tuệ nhân tạo

Keysight giới thiệu công cụ đo đối chuẩn hàng đầu cho hạ tầng trí tuệ nhân tạo

Home Credit và Thế Giới Di Động ký kết hợp tác chiến lược

Home Credit và Thế Giới Di Động ký kết hợp tác chiến lược

Khai mạc Hội nghị thượng đỉnh về công nghệ thông tin và mã nguồn mở châu Á

Khai mạc Hội nghị thượng đỉnh về công nghệ thông tin và mã nguồn mở châu Á

Khám phá Mercedes-AMG C 63 S E PERFORMANCE - dành riêng cho những vị chủ nhân đặc biệt

Khám phá Mercedes-AMG C 63 S E PERFORMANCE - dành riêng cho những vị chủ nhân đặc biệt

Schneider Electric và NVIDIA tái định nghĩa tiêu chuẩn trung tâm dữ liệu AI

Schneider Electric và NVIDIA tái định nghĩa tiêu chuẩn trung tâm dữ liệu AI

Sắp diễn ra Ngày sách và Văn hóa đọc Việt Nam năm 2024

Sắp diễn ra Ngày sách và Văn hóa đọc Việt Nam năm 2024

Thúc đẩy doanh nghiệp chuyển đổi số, chuyển đổi xanh

Thúc đẩy doanh nghiệp chuyển đổi số, chuyển đổi xanh

Prudential Việt Nam kiên định với mục tiêu ‘kinh doanh có trách nhiệm’

Prudential Việt Nam kiên định với mục tiêu ‘kinh doanh có trách nhiệm’

Dyson giới thiệu công nghệ AR thông minh mới giúp làm sạch “không tì vết”

Dyson giới thiệu công nghệ AR thông minh mới giúp làm sạch “không tì vết”

Ứng dụng AI trong chuyển đổi hoạt động phát triển sản phẩm

Ứng dụng AI trong chuyển đổi hoạt động phát triển sản phẩm

Keysight và Q-CTRL hợp tác tăng tốc phần mềm hạ tầng lượng tử

Keysight và Q-CTRL hợp tác tăng tốc phần mềm hạ tầng lượng tử

Keysight và AMD tái định nghĩa đo đối chuẩn hiệu năng hạ tầng đám mây và biên mạng

Keysight và AMD tái định nghĩa đo đối chuẩn hiệu năng hạ tầng đám mây và biên mạng

Tin đọc nhiều

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Giải mã xu hướng bảo mật OT tại FORTINET APAC OT Security Summit 2024

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Tăng cường biện pháp phòng ngừa và phản ứng trước các vụ lừa đảo tiền điện tử

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Cục An toàn thông tin cảnh báo 4 lỗ hổng bảo mật mới của Microsoft đang đe dọa hệ thống tại Việt Nam

Chrome ngừng hỗ trợ cookie bên thứ ba

Chrome ngừng hỗ trợ cookie bên thứ ba

Visa cảnh báo: người tiêu dùng cần thận trọng trong mùa mua sắm cuối năm

Visa cảnh báo: người tiêu dùng cần thận trọng trong mùa mua sắm cuối năm

91% vụ lừa đảo trực tuyến liên quan đến ngân hàng

91% vụ lừa đảo trực tuyến liên quan đến ngân hàng

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Tin tặc tấn công dữ liệu vắc xin COVID-19 của Pfizer/BioNTech để làm gì?

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Google vá lỗ hổng zero-day trên Chrome lần thứ hai trong hai tuần

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Cảnh báo lỗ hổng Windows DNS Server có thể làm sập hệ thống doanh nghiệp

Quy trình quản lý vật chứa bí mật nhà nước

Quy trình quản lý vật chứa bí mật nhà nước

Video xem nhiều

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Ford F-150 Lightning 2022 ra mắt: Bán tải chạy điện giá khởi điểm chưa đến 40 nghìn USD

Thông điệp lan tỏa mùa dịch COVID-19

Thông điệp lan tỏa mùa dịch COVID-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Pretzel - Bánh quy cây: Biểu tượng văn hoá châu Âu với nhiều tranh cãi về nguồn gốc

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Làm thế nào để nâng cao tương tác giữa loa và phòng nghe hiệu quả

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Trực tiếp: Apple ra mắt Iphone 11 tại Cupertino, California, Mỹ

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Những gì bạn muốn biết về 5G

Những gì bạn muốn biết về 5G

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019