5 cách đảm bảo an toàn cho việc tích hợp API

An toàn thông tin - Ngày đăng : 16:36, 08/04/2024

Do các API được sử dụng rất phổ biến và cho phép truy cập vào các chức năng cũng như dữ liệu nhạy cảm của phần mềm nên API đang trở thành mục tiêu chính của những kẻ tấn công.
An toàn thông tin

5 cách đảm bảo an toàn cho việc tích hợp API

Hạnh Tâm {Ngày xuất bản}

Do các API được sử dụng rất phổ biến và cho phép truy cập vào các chức năng cũng như dữ liệu nhạy cảm của phần mềm nên API đang trở thành mục tiêu chính của những kẻ tấn công.

Tích hợp API là sự kết hợp của hai hoặc nhiều ứng dụng sử dụng API. Tích hợp API cho phép một ứng dụng được hưởng lợi từ khả năng của ứng dụng khác.

Việc tích hợp API thường xử lý dữ liệu nhạy cảm như thông tin nhận dạng cá nhân (personally identifiable information - PII) của nhân viên, thông tin tài chính của công ty hoặc thậm chí dữ liệu thẻ thanh toán của khách hàng. Việc giữ an toàn cho dữ liệu này trước những kẻ tấn công đồng thời đảm bảo thực hiện hiệu quả các hoạt động tích hợp API đòi hỏi phải áp dụng một số biện pháp bảo mật.

a1(1).png

Việc thực hiện các biện pháp này ngày càng trở nên quan trọng do ngày càng có nhiều tổ chức đang tìm cách tích hợp API hướng tới khách hàng. Sau khi thăm dò ý kiến của 260 nhà quản lý sản phẩm và kỹ sư cho “Báo cáo hiện trạng tích hợp sản phẩm năm 2024”, kết quả cho thấy 83% công ty đã xác định tích hợp API là một trong những ưu tiên hàng đầu của họ trong năm nay.

Các tổ chức có thể tích hợp API an toàn trong nội bộ và hướng tới khách hàng trên quy mô lớn bằng cách thực hiện các bước sau:

Áp dụng cách tiếp cận bảo mật toàn diện bằng cách sử dụng cổng API

Cổng API sử dụng một số phương pháp để giảm thiểu và ngăn chặn các mối đe dọa trên các điểm cuối API. Chúng bao gồm: Ghi nhật ký các yêu cầu API để có thể dễ dàng kiểm tra; Áp dụng những hạn chế để tránh khả năng lạm dụng và phục vụ người dùng một cách công bằng hơn; Chặn các yêu cầu từ những địa chỉ IP và/hoặc khu vực cụ thể được biết là có nguy cơ thực hiện các hoạt động độc hại.

Xác định các phạm vi theo nguyên tắc đặc quyền tối thiểu

Ngay cả sau khi người dùng được xác thực và ủy quyền, họ có thể không nên (và không cần) truy cập tất cả dữ liệu từ một điểm cuối nhất định.

Ví dụ, người dùng cần thông tin chi tiết cụ thể về tên, họ, người quản lý và chức danh của nhân viên từ hệ thống thông tin nhân sự của công ty (HRIS). Người dùng có thể nhận được thông tin này thông qua yêu cầu API mà không truy nhập tới những thông tin không liên quan hay không cần thiết đối với họ như số an sinh xã hội, thông tin ngân hàng… của nhân viên HRIS đó.

Vì phạm vi truy cập có thể xác định rõ quyền truy cập của từng mã truy cập ứng dụng (access token) nên nó rất thuận tiện trong trường hợp như trên. Đặc biệt, do mỗi cá nhân chỉ có thể truy cập một bộ dữ liệu và chức năng nhất định nên khi mã truy cập rơi vào tay kẻ xấu sẽ hạn chế và ngăn chặn được những hậu quả đáng tiếc.

Thường xuyên cập nhật phần mềm

Để đảm bảo rằng các lỗ hổng của ứng dụng được vá và khả năng bảo mật của ứng dụng đó không ngừng được cải thiện, bạn cần phải thường xuyên cập nhật ứng dụng nhất có thể.

Một cách để thực hiện việc này là bật thông báo khi có bản cập nhật cho một ứng dụng nhất định. Ngoài ra có các cách tiếp cận khác như cập nhật hệ điều hành hoặc sử dụng công cụ của bên thứ ba để tự động cập nhật ứng dụng.

Điều đáng lưu ý là ngay cả khi một ứng dụng được cài đặt bản cập nhật mới nhất thì vẫn có rủi ro bảo mật. Vì vậy, công cụ kiểm tra bảo mật ứng dụng tĩnh (SAST) có thể giúp xác định và giải quyết mọi vấn đề tồn tại trong các ứng dụng được cập nhật.

Thiết lập một giới hạn cụ thể cho mỗi điểm cuối API nhất định

Việc đặt ra giới hạn có thể ngăn chặn kẻ tấn công tiềm ẩn khai thác điểm cuối API bằng các cuộc tấn công từ chối dịch vụ khiến người dùng không thể truy cập vào điểm cuối đó; nó có thể kiểm soát hàng loạt yêu cầu đến từ nhiều nguồn (do tấn công từ chối dịch vụ phân tán gây ra) và hạn chế các cuộc tấn công brute force, đồng thời có thể ngăn chặn ứng dụng thu thập dữ liệu được sử dụng để trích xuất dữ liệu từ các trang web (web scraping)

Ngoài những lợi ích bảo mật, việc thiết lập giới hạn còn được sử dụng vì nhiều lý do khác như: giúp kiểm soát chi phí, đảm bảo hiệu suất đáng tin cậy, giảm lỗi, cho phép nhà cung cấp API duy trì tuân thủ các quy định bảo mật dữ liệu cụ thể…

Sử dụng phương pháp phễu (funnel) cho giải pháp SIEM để kịp thời phát hiện các vấn đề bảo mật

Việc phân tích nhật ký từ lệnh gọi API trên quy mô lớn có thể gây tốn thời gian vì đòi hỏi phải xem qua hàng nghìn, hàng triệu nhật ký theo thời gian. Việc phân tích nhật ký theo cách thủ công cũng có thể dẫn đến các lỗi gây tốn kém do con người.

Để giúp việc xem lại nhật ký và giải quyết bất kỳ vấn đề bảo mật nào phát hiện được dễ dàng hơn, có thể sử dụng giải pháp quản lý sự kiện và thông tin bảo mật theo thời gian thực (SIEM).

Thông qua giải pháp SIEM, nhóm hoặc nhân viên được xác định trong hệ thống có thể nhận được những cảnh báo theo thời gian thực về các hoạt động đáng ngờ. Giải pháp cũng có thể kết hợp nhật ký với dữ liệu khác mà nó lưu trữ để xác định các mối đe dọa phức tạp hơn.

Tài liệu tham khảo

1. www.helpnetsecurity.com

2. https://vnmedia.vn

Hạnh Tâm