บทความพิเศษนี้ได้รวบรวมเอาผลสำรวจและความท้าทายของการใช้งาน API ในองค์กร และไขข้อข้องใจว่า API Gateway อาจยังไม่เพียงพอต่อการป้องกันภัยคุกคามที่อาจเกิดขึ้นได้
API คือสิ่งที่ช่วยบูรณาการสิ่งต่างๆในวงจรของ Software Supply Chain ให้โมดูลนั้นคุยกันได้ ให้เกิดการประสานงานระหว่างผู้พัฒนาภายใน ภายนอก ผู้ใช้งาน โดยเฉพาะกับแอปพลิเคชันคลาวด์ API คือหนทางที่ช่วยเร่งให้เกิดความยืดหยุ่นของการทำงานร่วมกันเป็นเสมือนเลเยอร์ล่างที่ให้นักพัฒนามีเวลาไปสนใจแค่งานของตน ประโยชน์มีหลายด้านคือ
- ทำให้การสื่อสารกับข้อมูล และกระบวนการเกิดความชัดเจนมีรูปแบบ
- ขจัดช่องว่างระหว่างข้อมูลและผู้ใช้ เพิ่มความเร็วให้การทำงานและพัฒนาประสบการณ์การใช้งานที่ดีให้ผู้ใช้ (User Experience)
- เอกสารอ้างอิงมีความชัดเจนกว่าเซิร์ฟเวอร์แบบเก่า ทำให้ทีมงานด้านความมั่นคงปลอดภัยประเมินเรื่องความเสี่ยงได้ดีขึ้น เข้าใจได้ว่าการปฏิบัติที่ดีควรทำอย่างไรในการทำงานจริง
สอดคล้องกับประโยชน์ที่เกิดขึ้น รายงานจาก RapidAPI ได้ไปสำรวจบุคคลด้านไอทีระดับบริหารกว่า 300 ท่าน มีผลยืนยันว่ากว่า 98% เชื่อว่า API มีความสำคัญ หากสามารถนำมาใช้ได้จริงจะสามารถสร้างการเติบโตและเพิ่มรายรับให้องค์กรได้ในอนาคต เป้าหมายของการริเริ่มใช้งาน API มีดังนี้
- 65% ใช้เพื่อสร้างความร่วมมือกับพาร์ทเนอร์ให้ต่อยอดนวัตกรรมใหม่ร่วมกันได้
- 60% ใช้กันภายในระหว่างนักพัฒนาเพื่อเร่งการเกิดขึ้นของผลิตภัณฑ์
- 53% ใช้ API จาก 3rd Party เป็นส่วนหนึ่งในการพัฒนาของตน
- 46% สร้าง API เป็นผลิตภัณฑ์ให้บริการนักพัฒนาอื่นๆเข้ามาใช้
อย่างไรก็ดีการเข้ามาของ API ยังตามมาด้วยความท้าทายต่างๆเช่น
- เครื่องมือที่ใช้จัดการ API ยังใช้งานได้ยากซับซ้อนและต้องอาศัยทรัพยากรรองรับมาก
- มองไม่เห็นภาพของ API โดยรวม ขาดการเชื่อมโยงกับแบบองค์รวม ซึ่งมีองค์กรจำนวนมากที่มีการใช้งาน API นับพันแต่ไม่ทราบหรือไม่ได้รับรู้การมีอยู่ (Shadow API)
- ไม่สามารถควบคุมการเข้าถึงอย่างเหมาะสม
- หลายโซลูชันมีข้อจำกัดในการทำงานร่วมกับโซลูชันอื่นๆ
- ขาดเครื่องมือที่เหมาะให้ผู้ใช้และทีมสามารถทำงานร่วมกันอย่างมีประสิทธิภาพ
เช่นกันการเพิ่มขึ้นของ API ยังกลายเป็นโอกาสให้แก่อาชญากรทางไซเบอร์ ที่หมายตาช่องทางนี้เอาไว้ โดยคาดว่าในปี 2022 องค์กรระดับสากลกว่า 45% จะถูกโจมตีจาก Software Supply Chain ทั้งนี้แนวทางทั่วไปที่องค์กรจะสามารถลดความเสี่ยงจากการโจมตีทาง API ก็คือ
- ระบุทราบการใช้งาน API ของตนให้ได้ก่อน
- วิเคราะห์พฤติกรรมการใช้งานปกติ รูปแบบการเปลี่ยน และการคอนฟิคที่ผิดพลาด
- ใช้ AI/ML ช่วยระบุปัญหาแบบเรียลไทม์และจัดลำดับความสำคัญให้แก่ทีมงานความมั่นคงปลอดภัยเข้ามาดูต่อ
- เตรียมการว่าหากเกิดการโจมตีจะแก้ไขอย่างไร จาก Workflow เดิมและความสามารถของโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยที่มี
- ทดสอบ API ตรวจสอบ Integrity ก่อนนำไปใช้จริง
Imperva เองก็ได้แนะนำมุมมองที่หลายคนอาจเข้าใจผิดไปว่า WAF และ DDoS อาจจะช่วยยับยั้งความเสี่ยงนี้ได้ ส่วนของ DDoS อาจจะสามารถจัดการ Request มหาศาลได้ แต่หากไม่ทราบว่าการใช้งานปกติเป็นอย่างไรก็ยากที่จะตัดสินว่าสิ่งที่เกิดขึ้นปกติหรือผิดปกติ อีกทางหนึ่ง WAF คงไม่สามารถเจาะลึกไปถึงองค์ประกอบภายในของซอฟต์แวร์ที่มีการผนวกสิ่งต่างๆเข้ามาและใช้ API คุยกัน
นอกจากนี้ยังมีการเข้าใจเกินไปว่า API Gateway คือสิ่งที่จะช่วยกลบช่องว่างทั้งหมดของความเสี่ยง แต่อันที่จริงแล้วฟังก์ชันหลักๆของ API Gateway เพียงทำหน้าที่แค่มอนิเตอร์แต่ไม่ได้เข้าใจการทำงานของ API ว่ามีความสามารถอะไรเข้าถึงข้อมูลแค่ไหนหรือการจัดความสำคัญ เจาะลึกลงไป API Gateway มักมีความสามารถหลักดังนี้
- พิสูจน์ตัวตนและจำกัดอำนาจการใช้ผ่านโดยพิจารณาจาก Credential หรือ Token
- วัดความหนาแน่นของทราฟฟิคและทำ Rate limit เพื่อลดการติดขัด
- แมประหว่าง API (Call Routing) ส่วน Frontend และ Backend
- โซลูชันแบบ On-premise อาจจะเสริมความน่าสนใจด้วยฟังก์ชัน Logging หรือเปิดให้ปรับแต่งการใช้ Policy
ด้วยความเข้าใจนี้เองทำให้องค์กรมองว่า API Gateway เป็นสิ่งพื้นฐานที่ต้องมีคล้ายกับการมีอยู่ของ Load balancer โดยหวังว่า API Gateway จะตอบโจทย์แล้ว ในทางกลับกันการมีแค่ API Gateway ยังไม่เพียงพอ เพราะเป็นแค่การดูแลเรื่อง North-South แต่ไม่ได้ดูแลเรื่อง East West หรือการเชื่อมต่อภายในซอฟต์แวร์ Container หรือ บริการด้วยกัน ซึ่ง WAF มองไม่เห็นอย่างดีก็แค่ช่วยเรื่อง OWASP Top 10 API
Imperva API Security คืออีกทางเลือกหนึ่งที่ให้เหตุผลว่าตนสามารถเข้าใจบริบทของ API ได้รู้ถึง Shadow API และข้อมูลที่เกี่ยวข้อง รวมถึงยังติดตามการอัปเดตของ API ได้ พร้อมแจ้งเตือนทีมงานด้าน Security ให้ทราบถึงความเสี่ยง ครอบคลุมทุกทิศของการทำงาน
ที่มา : https://www.helpnetsecurity.com/2022/02/09/apis-digital-transformation/ และ https://www.darkreading.com/application-security/apis-and-the-software-supply-chain-evolving-security-for-today-s-digital-ecosystem- และ https://www.imperva.com/blog/how-web-applications-are-attacked-through-apis/ และ https://www.imperva.com/blog/api-gateway-or-not-you-need-api-security/