Sự cố bảo mật API gây thiệt hại hàng tỷ USD mỗi năm

An toàn thông tin - Ngày đăng : 16:55, 23/06/2022

Trong những năm qua, các giao diện chương trình ứng dụng (API) đã tăng trưởng theo cấp số nhân, nhằm cung cấp các tính năng quan trọng cho các phần mềm, ứng dụng.

Trên thực tế, số lượng API được sử dụng bởi các doanh nghiệp (DN) đang gia tăng nhanh chóng; gần một nửa số DN có từ 50 - 500 API được triển khai nội bộ hoặc công khai, thậm chí một số DN còn có hơn 1.000 API đang hoạt động. Tuy nhiên, đi theo với đó là những thách thức trong việc bảo mật dữ liệu trong API. Hiện nay, các lỗ hổng tồn tại trong API đang ngày một tăng lên như các lỗ hổng về xác thực, phân quyền hay việc vô tình lộ dữ liệu nhạy cảm.

Theo một nghiên cứu của Trung tâm phân tích rủi ro mạng Marsh McLennan và tổ chức Imperva, chi phí cho các DN toàn cầu đang tăng lên do các API dễ bị tấn công hoặc không an toàn. Sau khi phân tích gần 117.000 sự cố an ninh mạng, Marsh McLennan  ước tính rằng tình trạng API không an toàn dẫn đến thiệt hại từ 41 - 75 tỷ USD mỗi năm.

Nghiên cứu cũng cho thấy rằng các tổ chức, DN lớn hơn có tỷ lệ sự cố liên quan đến API cao hơn về mặt thống kê. Các DN có doanh thu ít nhất 100 tỷ USD có nguy cơ bị mất an toàn API cao gấp 3 - 4 lần so với các DN vừa hoặc nhỏ.

Ngoài ra, các DN lớn đặc biệt dễ bị ảnh hưởng bởi các rủi ro bảo mật liên quan đến các API bị lộ hoặc không được bảo vệ khi các DN này đẩy nhanh quá trình chuyển đổi số. Nguyên nhân là do nhiều API được kết nối trực tiếp với cơ sở dữ liệu phụ trợ, nơi dữ liệu nhạy cảm được lưu trữ. Do đó, tin tặc ngày càng nhắm mục tiêu vào các API như một phương thức để tấn công cơ sở hạ tầng nhằm đánh cắp thông tin nhạy cảm. Ngày nay, cứ 13 sự cố mạng thì có đến 1 sự cố được cho liên quan tới việc API không an toàn. Khi số lượng API trong sản xuất tăng lên, con số này dự kiến cũng sẽ gia tăng trong những năm tới.

Cũng theo kết quả nghiên cứu, các ngành công nghiệp CNTT, dịch vụ chuyên nghiệp và bán lẻ có nhiều khả năng gặp sự cố bảo mật liên quan đến API hơn so với các dịch vụ chăm sóc sức khỏe và giáo dục.

Karl Triebes tại Imperva chỉ ra rằng nếu không có chiến lược giải quyết vấn đề bảo mật API, các DN trên khắp thế giới sẽ tiếp tục thua lỗ hàng năm. Triebes tin rằng để giảm thiểu các mối đe dọa ngày càng tăng liên quan đến API, các tổ chức, DN cần có khả năng khám phá tất cả các API trong môi trường của họ và hiểu dữ liệu nào đang chạy qua mỗi API.

Vậy để đối phó với sự gia tăng các sự cố bảo mật liên quan tới API, các DN có thể làm gì? Imperva đề xuất đầu tiên các DN cần xác định và phân loại dữ liệu qua mọi API, nhằm đánh giá các rủi ro có thể.

Bên cạnh đó, các DN cũng nên xem xét việc ứng dụng tự động hóa. Các API được phát triển nhanh chóng và được sửa đổi thường xuyên, khiến chúng trở thành "điểm mù" đối với nhiều DN. Thông qua tự động hóa, các DN có thể phát hiện và loại bỏ các API giả mạo hoặc bị lỗi.

Triển khai hệ thống quản trị API cũng là một đề xuất khác. Đối với các DN trong các ngành được quản lý cao, mô hình quản trị API là rất quan trọng để bảo vệ dữ liệu nhạy cảm tốt nhất có thể.

"Gốc rễ của mọi sự cố bảo mật liên quan đến API là dữ liệu. Bảo vệ API đòi hỏi sự thay đổi tư duy, trong đó cần tập trung vào việc phân loại dữ liệu và hiểu cách dữ liệu được truy cập bởi mọi API trong quá trình sản xuất. Cách tiếp cận này yêu cầu các nhóm bảo mật và phát triển làm việc cùng nhau để tích hợp bảo mật vào vòng đời phát triển", Triebes cho biết thêm./.

TH