อย่ามองข้ามความสำคัญของ API Security

API เป็นส่วนประกอบสำคัญของแอปพลิเคชันสมัยใหม่เรียบร้อยแล้ว แต่หลายองค์กรยังละเลยกับเรื่องความมั่นคงปลอดภัยของ API ที่นับวันจะเริ่มกลายเป็นทางเข้าใหม่ของเหล่าแฮ็กเกอร์ทุกที ซึ่งในวันนี้เราขอสรุปหัวข้อจาก Darkreading ให้ได้อ่านกันครับว่าเราจะเริ่มต้นการดูแลความมั่นคงปลอดภัยของ API ได้อย่างไร

การก้าวข้ามจาก Monolithic สู่ Microservice และ Serverless ทำให้การเชื่อมโยงของฟังก์ชันต่างๆ ได้ผันเข้าสู่การใช้งาน API โดยจากผลสำรวจ State of API พบว่าเกินครึ่งหนึ่งของ API ที่ถูกใช้ในแอปพลิเคชันขององค์กรมาจากนักพัฒนาภายในเอง นอกนั้น 28% มาจากพาร์ทเนอร์ ซึ่ง 19% สามารถใช้งานแบบสาธารณะเข้ามาได้ ด้วยเหตุนี้เองการใส่ใจเรื่องความมั่นคงปลอดภัยของ API จึงเป็นสิ่งสำคัญอย่างยิ่งที่องค์กรไม่ควรมองข้าม

อย่างไรก็ดีจากความเห็นของ Kin Lane, Chief Evangelist จาก Postman กล่าวว่าแอปพลิเคชันสมัยใหม่ถูกผลักดันมาจากความต้องการของธุรกิจ เช่น พาร์ทเนอร์ ลูกค้า หรือต้องการทำงานได้รวดเร็วซึ่ง Lane เห็นว่า “คนส่วนใหญ่ไม่เคยจัดสำดับความสำคัญหรือศึกษาขอบเขตความสามารถของ API และทำบันทึกเอาไว้เลย” แต่โชคดีคือ API ในองค์กรมีรูปแบบไม่มากนักก็คือ REST และ Web API ที่มีความพื้นฐานใกล้กัน ดังนั้นก้าวแรกที่บริษัทต้องทำก่อนคือสำรวจว่าองค์กรใช้ API อะไรบ้าง พร้อมจัดลำดับ และบันทึกข้อมูลเอาไว้ว่าแต่ละตัวมีความสามารถอย่างไรเพื่อจะได้ทราบว่าควรจะปกป้องมันอย่างไร

ลำดับดับถัดมา Laurence Pitt, Global Security Strategy Director ของ Juniper Networks ชี้ว่าการเข้ารหัสคือก้าวที่ดี พร้อมกับชี้แจงว่า “มีวิธีการมากมายที่จะใช้เพื่อจำกัด API แต่ต้องไม่ซับซ้อนมากเกินไป โดยทั่วไปแล้ว API ส่วนใหญ่ยอมรับได้เพียงขอแค่ส่งข้อมูลผ่าน HTTPS เพื่อป้องกันเครื่องมือการสแกนจากแฮ็กเกอร์ไม่ให้พบโดยง่าย ถึงกระนั้นก็มี API บางส่วนจำเป็นต้องจำกัดการเข้าถึงแค่คนที่มีสิทธิจริงๆ เท่านั้น”

องค์ประกอบถัดมาคือองค์กรสามารถพึ่งพา Framework จาก Open Web Application Security Project (OWASP) ที่พูดถึง Top 10 API Security และแม้ว่าจะมีความเห็นจากผู้เชี่ยวชาญที่ว่าข้อมูลเหล่านั้นยังต้องพัฒนาก็ตามแต่ก็ถือว่าเป็น Baseline ดีกว่าไม่มีอะไรเลย นอกจากนี้ยังมี Framework จากค่าย NIST ที่กล่าวถึง Microsoervices-based Application ที่เพิ่งออกมาสมบูรณ์ในปีนี้หรือ Special Publication 800-204  

อย่างไรก็ตาม Kiersten Todt, Managing Director ของ Cyber Readiness Institute แนะนำว่า “องค์กรไม่สามารถใช้ทุกอย่างใน Framework ได้ทั้งหมดหรอกเพราะมีตั้ง 98 ข้อ บางองค์กรก็ได้ใช้หมด แต่ส่วนใหญ่ที่ไม่ถึงก็แค่ใช้เป็นแค่แนวทางก็โอเคแล้ว” นอกจากนี้ยังปิดท้ายว่า Framework ทั้งสองจะถูกอัปเดตเรื่อยๆ และเช่นกันองค์กรต้องทำให้ตัวเองพร้อมปรับตัวตามอย่างสม่ำเสมอ รวมถึงต้องคอยรีวิวดูภัยคุกคามและจัดความสำคัญใหม่เมื่อเวลาผ่านไปด้วย

ที่มา :  https://www.darkreading.com/edge/theedge/how-to-manage-api-security/b/d-id/1336646