CDIC 2023

เหตุใดองค์กรส่วนใหญ่ยังขาดวิธีการจัดการ API ให้มั่นคงปลอดภัย

บทความพิเศษนี้ได้รวบรวมเอาผลสำรวจและความท้าทายของการใช้งาน API ในองค์กร และไขข้อข้องใจว่า API Gateway อาจยังไม่เพียงพอต่อการป้องกันภัยคุกคามที่อาจเกิดขึ้นได้

Credit: ShutterStock.com

API คือสิ่งที่ช่วยบูรณาการสิ่งต่างๆในวงจรของ Software Supply Chain ให้โมดูลนั้นคุยกันได้ ให้เกิดการประสานงานระหว่างผู้พัฒนาภายใน ภายนอก ผู้ใช้งาน โดยเฉพาะกับแอปพลิเคชันคลาวด์ API คือหนทางที่ช่วยเร่งให้เกิดความยืดหยุ่นของการทำงานร่วมกันเป็นเสมือนเลเยอร์ล่างที่ให้นักพัฒนามีเวลาไปสนใจแค่งานของตน ประโยชน์มีหลายด้านคือ

  • ทำให้การสื่อสารกับข้อมูล และกระบวนการเกิดความชัดเจนมีรูปแบบ
  • ขจัดช่องว่างระหว่างข้อมูลและผู้ใช้ เพิ่มความเร็วให้การทำงานและพัฒนาประสบการณ์การใช้งานที่ดีให้ผู้ใช้ (User Experience)
  • เอกสารอ้างอิงมีความชัดเจนกว่าเซิร์ฟเวอร์แบบเก่า ทำให้ทีมงานด้านความมั่นคงปลอดภัยประเมินเรื่องความเสี่ยงได้ดีขึ้น เข้าใจได้ว่าการปฏิบัติที่ดีควรทำอย่างไรในการทำงานจริง

สอดคล้องกับประโยชน์ที่เกิดขึ้น รายงานจาก RapidAPI ได้ไปสำรวจบุคคลด้านไอทีระดับบริหารกว่า 300 ท่าน มีผลยืนยันว่ากว่า 98% เชื่อว่า API มีความสำคัญ หากสามารถนำมาใช้ได้จริงจะสามารถสร้างการเติบโตและเพิ่มรายรับให้องค์กรได้ในอนาคต  เป้าหมายของการริเริ่มใช้งาน API มีดังนี้

  • 65% ใช้เพื่อสร้างความร่วมมือกับพาร์ทเนอร์ให้ต่อยอดนวัตกรรมใหม่ร่วมกันได้
  • 60% ใช้กันภายในระหว่างนักพัฒนาเพื่อเร่งการเกิดขึ้นของผลิตภัณฑ์
  • 53% ใช้ API จาก 3rd Party เป็นส่วนหนึ่งในการพัฒนาของตน
  • 46% สร้าง API เป็นผลิตภัณฑ์ให้บริการนักพัฒนาอื่นๆเข้ามาใช้

อย่างไรก็ดีการเข้ามาของ API ยังตามมาด้วยความท้าทายต่างๆเช่น 

  1. เครื่องมือที่ใช้จัดการ API ยังใช้งานได้ยากซับซ้อนและต้องอาศัยทรัพยากรรองรับมาก
  2. มองไม่เห็นภาพของ API โดยรวม ขาดการเชื่อมโยงกับแบบองค์รวม ซึ่งมีองค์กรจำนวนมากที่มีการใช้งาน API นับพันแต่ไม่ทราบหรือไม่ได้รับรู้การมีอยู่ (Shadow API)
  3. ไม่สามารถควบคุมการเข้าถึงอย่างเหมาะสม
  4. หลายโซลูชันมีข้อจำกัดในการทำงานร่วมกับโซลูชันอื่นๆ
  5. ขาดเครื่องมือที่เหมาะให้ผู้ใช้และทีมสามารถทำงานร่วมกันอย่างมีประสิทธิภาพ

เช่นกันการเพิ่มขึ้นของ API ยังกลายเป็นโอกาสให้แก่อาชญากรทางไซเบอร์ ที่หมายตาช่องทางนี้เอาไว้ โดยคาดว่าในปี 2022 องค์กรระดับสากลกว่า 45% จะถูกโจมตีจาก Software Supply Chain ทั้งนี้แนวทางทั่วไปที่องค์กรจะสามารถลดความเสี่ยงจากการโจมตีทาง API ก็คือ

  1. ระบุทราบการใช้งาน API ของตนให้ได้ก่อน
  2. วิเคราะห์พฤติกรรมการใช้งานปกติ รูปแบบการเปลี่ยน และการคอนฟิคที่ผิดพลาด
  3. ใช้ AI/ML ช่วยระบุปัญหาแบบเรียลไทม์และจัดลำดับความสำคัญให้แก่ทีมงานความมั่นคงปลอดภัยเข้ามาดูต่อ
  4. เตรียมการว่าหากเกิดการโจมตีจะแก้ไขอย่างไร จาก Workflow เดิมและความสามารถของโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยที่มี
  5. ทดสอบ API ตรวจสอบ Integrity ก่อนนำไปใช้จริง

Imperva เองก็ได้แนะนำมุมมองที่หลายคนอาจเข้าใจผิดไปว่า WAF และ DDoS อาจจะช่วยยับยั้งความเสี่ยงนี้ได้ ส่วนของ DDoS อาจจะสามารถจัดการ Request มหาศาลได้ แต่หากไม่ทราบว่าการใช้งานปกติเป็นอย่างไรก็ยากที่จะตัดสินว่าสิ่งที่เกิดขึ้นปกติหรือผิดปกติ อีกทางหนึ่ง WAF คงไม่สามารถเจาะลึกไปถึงองค์ประกอบภายในของซอฟต์แวร์ที่มีการผนวกสิ่งต่างๆเข้ามาและใช้ API คุยกัน 

นอกจากนี้ยังมีการเข้าใจเกินไปว่า API Gateway คือสิ่งที่จะช่วยกลบช่องว่างทั้งหมดของความเสี่ยง แต่อันที่จริงแล้วฟังก์ชันหลักๆของ API Gateway เพียงทำหน้าที่แค่มอนิเตอร์แต่ไม่ได้เข้าใจการทำงานของ API ว่ามีความสามารถอะไรเข้าถึงข้อมูลแค่ไหนหรือการจัดความสำคัญ เจาะลึกลงไป API Gateway มักมีความสามารถหลักดังนี้

  • พิสูจน์ตัวตนและจำกัดอำนาจการใช้ผ่านโดยพิจารณาจาก Credential หรือ Token
  • วัดความหนาแน่นของทราฟฟิคและทำ Rate limit เพื่อลดการติดขัด
  • แมประหว่าง API (Call Routing) ส่วน Frontend และ Backend
  • โซลูชันแบบ On-premise อาจจะเสริมความน่าสนใจด้วยฟังก์ชัน Logging หรือเปิดให้ปรับแต่งการใช้ Policy

ด้วยความเข้าใจนี้เองทำให้องค์กรมองว่า API Gateway เป็นสิ่งพื้นฐานที่ต้องมีคล้ายกับการมีอยู่ของ Load balancer โดยหวังว่า API Gateway จะตอบโจทย์แล้ว ในทางกลับกันการมีแค่ API Gateway ยังไม่เพียงพอ เพราะเป็นแค่การดูแลเรื่อง North-South แต่ไม่ได้ดูแลเรื่อง East West หรือการเชื่อมต่อภายในซอฟต์แวร์ Container หรือ บริการด้วยกัน ซึ่ง WAF มองไม่เห็นอย่างดีก็แค่ช่วยเรื่อง OWASP Top 10 API

Imperva API Security คืออีกทางเลือกหนึ่งที่ให้เหตุผลว่าตนสามารถเข้าใจบริบทของ API ได้รู้ถึง Shadow API และข้อมูลที่เกี่ยวข้อง รวมถึงยังติดตามการอัปเดตของ API ได้ พร้อมแจ้งเตือนทีมงานด้าน Security ให้ทราบถึงความเสี่ยง ครอบคลุมทุกทิศของการทำงาน

ที่มา : https://www.helpnetsecurity.com/2022/02/09/apis-digital-transformation/ และ https://www.darkreading.com/application-security/apis-and-the-software-supply-chain-evolving-security-for-today-s-digital-ecosystem- และ https://www.imperva.com/blog/how-web-applications-are-attacked-through-apis/ และ https://www.imperva.com/blog/api-gateway-or-not-you-need-api-security/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …