Tấn công API: Từ bị xem nhẹ đến một trong những nguy cơ an ninh mạng lớn của doanh nghiệp

Những cuộc tấn công API thường bị xem nhẹ về mức độ cũng như tần suất, nhưng với sự phát triển của API, chúng có thể trở thành một trong những hiểm họa lớn nhất đối với các doanh nghiệp.

API (Application Programming Interface) – từ một công cụ được sử dụng với mục đích đơn thuần là kết nối giữa các ứng dụng, dịch vụ Internet, IoT,… đến nay đã phát triển thành một trong những thành phần quan trọng để vận hành hệ thống mạng Internet và cũng là một trong những nguy cơ an ninh mạng mà doanh nghiệp có thể đối mặt.

Akamai Technologies cho rằng những cuộc tấn công API thường bị xem nhẹ về mức độ cũng như tần suất, nhưng với sự phát triển của API, chúng có thể trở thành một trong những hiểm họa lớn nhất đối với các doanh nghiệp. Theo báo cáo Thực trạng Internet về hình thức tấn công API do Akamai Technologies thực hiện từ 01/2020 – 06/2021, số cuộc tấn công có liên quan đến API có chiều hướng tăng dần, đặc biệt có thời điểm hệ thống của Akamai ghi nhận đến 113,8 triệu cuộc tấn công/ngày. Con số này cao gấp 3 lần so với cùng kỳ năm 2020.

Tấn công API: Từ bị xem nhẹ đến một trong những nguy cơ an ninh mạng lớn của doanh nghiệp

Theo dự báo của Gartner: “Năm 2022, các cuộc tấn công vào API sẽ dịch chuyển từ vector không thường xuyên qua vector tấn công thường xuyên, dẫn đến việc rò rỉ dữ liệu của các ứng dụng web”.

Vấn đề bảo mật dành cho API

API được phát triển với những tính năng chính là tích hợp và truy cập dữ liệu, trong những năm gần đây, API được sử dụng rộng rãi ở các ngành dịch vụ và kinh doanh công nghệ số. Tuy nhiên, tính linh hoạt này lại trở thành nơi dễ dàng phát sinh những vấn đề ngoài dự tính. Và nếu chỉ sử dụng các giải pháp an ninh thông thường, các doanh nghiệp sẽ gần như không thể đảm bảo được vấn đề bảo mật API.

Những lỗ hổng của API giống với những lỗ hổng trên ứng dụng web thường gặp. Lý do cho vấn đề này, chính là bởi những ứng dụng này đã bị để lại các lỗ hổng bảo mật một cách cố ý.Theo báo cáo này, 48% doanh nghiệp dù biết nhưng vẫn đưa các ứng dụng chứa code dễ bị tấn công ra thị trường, 54% trong số này thừa nhận việc cho ra mắt những ứng dụng chứa code dễ bị tấn công là do áp lực thời gian và nhu cầu của người dùng. Các ứng dụng với những lỗ hổng được biết trước này vẫn được tung ra thị trường, và sẽ được cập nhật với các bản vá lỗi sau đó.

Một số lý do khác là do doanh nghiệp cho rằng các lỗ hổng này không chứa quá nhiều nguy cơ, hoặc được phát hiện quá muộn và không kịp sửa lỗi trước khi đưa vào triển khai.

Và cách tốt nhất cho vấn đề bảo mật API là?

 

Akamai Technologies chỉ ra 5 điểm mà các tổ chức, doanh nghiệp cần lưu ý khi sử dụng API. Bao gồm:

Tìm hiểu và theo dõi API đang sử dụng: Nhiều tổ chức có thể đã trải qua các sự cố liên quan đến API mà họ thậm chí còn không biết đến sự tồn tại của nó. Vì vậy, biết được vị trí, cách thức chúng được sử dụng là điều cần thiết.

Kiểm tra và hiểu các nguy cơ đang tồn tại với API: Dĩ nhiên điều này cần có công cụ và đội ngũ để giúp tìm ra các lỗ hổng, nhưng nếu các tổ chức, doanh nghiệp không chủ động phát hiện thì việc bị tấn công sẽ là sớm hay muộn mà thôi.

Tận dụng tất cả các công cụ bảo mật trong toàn bộ quá trình phát triển, khởi chạy, bên cạnh đó, luôn đảm bảo rằng việc rà soát bảo mật API được thực hiện thường xuyên.

Đừng sử dụng đơn lẻ một thiết lập cho mỗi API, hãy ưu tiên sử dụng một loạt các thiết lập cho API có thể tái sử dụng.

Và cuối cùng là việc phát triển API - ở một số cấp độ - cần có sự tham gia của nhiều bộ phận khác nhau, như các nhóm phát triển, nhóm vận hành mạng và bảo mật, nhóm nhận dạng, nhóm quản lý rủi ro, kiến trúc sư bảo mật và nhóm pháp lý.

Bảo mật ứng dụng, cho dù là API hay phát triển ứng dụng web, là một vấn đề phức tạp, đòi hỏi doanh nghiệp phải cân bằng về cả tính năng, ứng dụng và nhu cầu kinh doanh. Nhận biết trước nguy cơ và triển khai kịp thời biện pháp bảo mật, là giải pháp dành cho doanh nghiệp nhằm đảm bảo an toàn thông tin trên không gian mạng. Là doanh nghiệp hàng đầu thế giới về tường lửa website, ứng dụng và API, các giải pháp của Akamai Technologies đảm bảo đồng thời an toàn thông tin từ bên ngoài và từ bên trong nội bộ doanh nghiệp.

Thông qua mạng lưới phân phối của đối tác Viettel IDC, các giải pháp bảo mật của Akamai Technologies hiện nay đã tiếp cận được nhiều doanh nghiệp trong nước. Giải pháp bảo mật thông minh từ nhà cung cấp dịch vụ mạng tại Mỹ được khách hàng đánh giá cao bởi có độ tương thích cao với hạ tầng công nghệ Việt Nam, hệ thống được triển khai nhanh chóng trong vài cú nhấp chuột và cập nhật tự động phiên bản mới. Ngoài ra, websites, ứng dụng và API của khách hàng vẫn có khả năng hoạt động tốt ngay cả khi bị tấn công nhờ hệ thống nền tảng biên thông minh (Akamai Intelligent Edge Platform) mạnh mẽ.

Phương Dung

 
List comment
 

Hiện nay, khoảng 90% dự án phần mềm tại Việt Nam được phát triển chưa áp dụng quy trình DevSecOps (Phát triển-An toàn thông tin-Vận hành). Một nguyên nhân do doanh nghiệp ICT chưa dành nguồn lực cho an toàn thông tin khi phát triển phần mềm.

 

Vào 9h30 - 11h30 ngày 12-13/01/2022, CMC Telecom phối hợp CMC Cyber Security và Chili tổ chức chuỗi hội thảo online “Xây dựng giải pháp tổng thể cho Website của doanh nghiệp” mang đến các giải pháp thiết kế, quản trị, vận hành website tối ưu nhất.

 

Dự kiến từ ngày 3/3/2022 đến 24/3/2022, cuộc thi “Học sinh với An toàn thông tin” năm 2022 dành cho học sinh THCS trên toàn quốc, sẽ chính thức diễn ra theo hình thức trực tuyến.

 

Nhiều người dùng iPhone tại Việt Nam đã thông tin tới hệ thống tiếp nhận, phản ánh tin nhắn rác, cuộc gọi rác qua đầu số 5656 về việc họ nhận được tin nhắn spam trên iMessage giới thiệu công việc đa cấp, có dấu hiệu lừa đảo.

 

Các chuyên gia từ Cisco cho rằng, các công ty tại Việt Nam cần làm mới các công nghệ và giải pháp cơ sở hạ tầng an ninh mạng bởi nhiều doanh nghiệp sử dụng hệ thống đã lỗi thời. 

 
 

Bộ TT&TT vừa đề nghị các cơ quan, tổ chức, doanh nghiệp rà soát, thống kê những hệ thống có xử lý thông tin cá nhân thuộc phạm vi quản lý và triển khai đảm bảo an toàn cho các hệ thống theo cấp độ.

Trong bối cảnh đại dịch Covid-19, các vụ tấn công mạng có xu hướng gia tăng cả về số lượng lẫn mức độ. Chúng ta có thể thấy gì từ điều này?

Đó là một trong những yêu cầu của Bộ TT&TT với các doanh nghiệp cung cấp dịch vụ viễn thông, Internet và đơn vị cung cấp nền tảng chuyển đổi số, nền tảng chống dịch nhằm tăng cường bảo đảm an toàn thông tin mạng dịp Tết năm 2022.

Tính đến tháng 12, Đà Nẵng đã phát hiện và ngăn chặn kịp thời 21.955 lượt tấn công, trong đó 185 lượt tấn công từ chối dịch vụ, 21.171 lượt tấn công truy cập trái phép, chiếm quyền điều khiển và 578 lượt tấn công mã độc.

Theo chuyên gia bảo mật Mikko Hypponen, Giám đốc Nghiên cứu F-Secure, việc đầu tư vào tiền mã hoá hoàn toàn không được bảo vệ, không có gì đảm bảo và giá trị đầu tư các đồng tiền mã hóa có thể trở về số không bất kỳ lúc nào.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123