ปัจจุบันทุกคนตระหนักดีแล้วว่า ‘ข้อมูล’ นั่นสำคัญที่สุด ทั้งนี้ API คือหัวใจของแอปพลิเคชันสมัยใหม่ที่พาผู้ใช้งานเข้าไปถึงข้อมูล แต่ความซับซ้อนของ API กลับเพิ่มขึ้นทุกวินาที ทั้งการเกิดขึ้นของโครงสร้างแอปพลิเคชันแบบ microservice และการที่ไม่สามารถบูรณาการ API เหล่านี้เข้าด้วยกัน ความเสี่ยงก็ยังรอคอยการกลายเป็นช่องทางการโจมตีอยู่เสมอ
โดย IBM ได้นำเสนอโซลูชันร่วมกับ Noname Security ที่สามารถวิเคราะห์ API ในระดับ Runtime นอกจากนี้ IBM เองยังมีโซลูชันเรื่องการบริหารจัดการ Identity และการกำหนดสิทธิ์ของการเข้าถึง ตลอดจนการป้องกันระดับฐานข้อมูลร่วมด้วย มาติดตามกันว่าทั้งหมดนี้จะทำงานร่วมกันได้อย่างไร
การโจมตีผ่าน API เกิดขึ้นได้ง่ายกว่าที่คิด
Firewall และ Web Application Firewall ไม่ได้ถูกออกแบบมาให้รับมือกับการโจมตี API เนื่องจากความท้าทายของ API มีหลายแง่มุม ทั้งในเรื่องของ Shadow API การบริหารจัดการ และ ภัยจากภายในเอง ซึ่งอย่างหลังนี้คือไอเดียของการโจมตีลำดับต้นๆที่ OWASP Top 10 API จัดไว้ในลำดับต้นๆที่ต้องระวังอย่าง Broken Object Level Authorization และ Broken Object Property Level Authorization
เพียงแค่คนร้ายก็ล็อกอินตามกระบวนการปกติ ก็สามารถปรับเปลี่ยนแก้ไขค่าใน API ให้ตนได้ประโยชน์ เช่น การเปลี่ยน User ID หรือการเปลี่ยนค่าใน Field ที่ไม่ควรทำได้อย่างเงินในบัญชีของผู้ใช้นั้นๆ เป็นต้น ซึ่งอาจจะเกิดจากการเขียนโค้ดได้ไม่รัดกุม ยกตัวอย่างเช่น การแมป Object ในฐานข้อมูลอาจมีการ Return ข้อมูลในหลาย Field โดยคนร้ายเพียงแค่ Inspect ค่าในบราวน์เซอร์ที่ได้รับกลับมาจากแอป สิ่งเหล่านี้คือเรื่องที่เกิดขึ้นได้อย่างง่ายดายในโลกของความมั่นคงปลอดภัยของแอปพลิเคชัน
อย่างไรก็ตาม API คือกลไกสำคัญของธุรกิจในหลายส่วน ไม่ว่าจะเป็นการให้บริการกับหน่วยงานและธุรกิจอื่นๆ การเชื่อมต่อระหว่างโมดูลของแอปพลิเคชันแบบ microservice และการเชื่อมต่อกับ UI ที่ต้องการขอใช้บริการ โดยนอกจากความท้าทายเชิงปริมาณแล้ว ยังมีความท้าทายเชิงการจัดการด้วย เช่น API ที่ถูกหลงลืม หรือ องค์กรอาจไม่เคยรู้มาก่อนด้วยซ้ำ แน่นอนว่าเมื่อมองไม่เห็นย่อมไม่สามารถปกป้องได้
ปกป้องกันและหยุดยั้งเหตุการณ์ได้ทันทีด้วยโซลูชันจาก IBM API Gateway และ Noname Security
การป้องกันการโจมตีเพื่อไม่ให้เกิดขึ้นหรือหยุดยั้งเหตุการณ์มี 2 ช่วงก็คือ ส่วนที่องค์กรสามารถบริหารจัดการได้ เช่น การกำหนด Policy และวางกลไกการป้องกันให้แข็งแรงที่สุด ซึ่งส่วนนี้ IBM ได้นำเสนอโซลูชันที่เรียกว่า IBM API Connect ประกอบไปด้วย IBM API Gateway, IBM Developer Portal และ IBM API Manager ซึ่ง IBM ได้มีความสามารถในเรื่องของการบริหารจัดการอย่างโดดเด่นเหนือกว่าคู่แข่งอื่นๆในตลาด API Gateway ในขณะที่ Noname Security จะรับหน้าที่ดูเหตุการณ์การในขณะเรียลไทม์
1.) IBM API Connect
API Gateway คือการรวมศูนย์สำหรับการบริการจัดการ API โดยในคอนเซปต์ของ IBM องค์กรสามารถแตกแขนงการรวมศูนย์ API Gateway ได้ตามหน่วยธุรกิจเพื่อความคล่องตัวและประสิทธิภาพในการบริหารจัดการ แต่ทั้งหมดจะสามารถรวมศูนย์การจัดการเข้าด้วยกันได้อย่างไร้รอยต่อ โดยหน้าที่หลักของ API Gateway กับตัว API ก็คือการเพิ่มเลเยอร์ด้าน Security การทำ Rate Limit และการจัดการทราฟฟิคของ API รวมถึงเป็นตัวคั่นกลางปกปิดไม่ให้ภายนอกพบเห็นกับช่องโหว่ของบางแอปพลิเคชันที่อาจไม่สามารถปรับปรุงโค้ดได้
จุดเด่นของ IBM API Connect ที่เหนือกว่าโซลูชัน API Gateway ก็คือเครื่องมือสำหรับนักพัฒนา API ที่เรียกว่า Developer Portal โดยจะมีการค้นหาจัดทำคลังข้อมูล API ที่องค์กรมีและผู้ดูแลสามารถให้ข้อมูลกำกับเกี่ยวกับวิธีการใช้และข้อจำกัดของ API รวมถึงส่วนวิเคราะห์การใช้งาน โดยในบางองค์กรอาจต้องการระบบกลางที่คอยอัปเดตข้อมูล API ของตนให้พาร์ทเนอร์ได้รับรู้ฟีเจอร์นี้ก็จะช่วยอัปเดตข้อมูลได้อย่างไร้รอยต่อ
API Manager คือความสามารถของแอดมินในการกำหนดปริมาณหรือแผนการใช้งาน API และ Policy และสิทธิ์การเข้าถึง API นั้น รวมถึงปรับเพิ่มลดทรัพยากรเพื่อให้สอดคล้องกับการใช้ได้ นอกจากนี้ภายใต้โซลูชัน API Connect ยังมีฟีเจอร์ Governance ที่ช่วยตรวจสอบ API ขององค์กรได้ว่าการใช้งานมีมาตรฐานในทิศทางเดียวกันให้ได้เกณฑ์ตาม OWASP API Top 10
2.) IBM API Gateway
IBM API Gateway จะประกอบไปด้วยกัน 3 Layers
- Layer แรกจะเป็นตัว API Management ไว้เป็นตัวจัดการระหว่าง Infrastructure และตัว API Gateway เป็นตัวที่ Admin เข้ามากับกำหนด Policy และ สิทธิ์หรือ Quota การใช้ API
- Layer ที่ 2 จะเป็นตัว API Gateway ที่ทำหน้าที่ในการ Enforce Policy ที่ได้รับจาก API Management เป็นตัวปิดกั้นการเข้าถึง API ให้มีความปลอดภัยยิ่งขึ้น รวมถึงการทำ Centralize Policy ต่างๆ สามารถทำได้ที่ตัว API Gateway ทำให้ลดภาระของ Developerในการพัฒนา Application ให้มีประสิทธิภาพและลดระยะเวลาในการพัฒนา Application ลงได้เนื่องจากเราให้ตัว API Gateway เป็นคนจัดการและควบคุมเรื่องของ Sercurity แทนที่จะต้องเป็นหน้าที่ของ Developer
- Layer ที่ 3 คือตัว Noname Security ตัวนี้จะเป็นตัวที่ต้องทำงานร่วมกับ API Gateway เพื่อเพิ่มความแข็งแกร่ง ด้าน Security ณ ขณะ Runtime ให้แข็งแกร่งยิ่งขึ้น โดยจะมีการ scan การเรียกใช้ API Realtime ว่าผ่าน Security ที่ถูกกำหนดขึ้นโดย OWASP หรือไม่ ทำให้เราสามารถป้องกันการโจมตีจาก Hacker ได้ทันที
3.) Noname Security
จุดเด่นของ Noname Security ก็คือโซลูชันในการป้องกันภัยของ API ได้แบบเรียลไทม์ด้วยการตรวจจับพฤติกรรมผ่าน Machine Learning ซึ่งในกรณีของการโจมตี API ที่กล่าวถึงข้างต้นในคำแนะนำของ OWASP Top 10 โซลูชันของ Noname Security ได้ทำการเรียนรู้ภาวะการใช้งานปกติ หากมีความผิดปกติเกิดขึ้นระบบสามารถรับรู้และป้องกันพฤติกรรม ณ เวลาที่เกิดขึ้นได้อย่างทันท่วงที โดยมีฟีเจอร์ที่น่าสนใจ ดังนี้
- ช่วยตรวจจับช่องโหว่ของ API ตามที่ระบบใน OWASP API Top 10
- สแกนค้นหา API ที่ใช้งานในองค์กร ไม่ว่าจะเป็น API ที่ไม่เคยทราบมาก่อน หรือหลุดจากการบริหารจัดการ และ API ที่มิชอบ โดยสามารถติดตาม API ที่เกิดขึ้นได้อย่างต่อเนื่อง
- รองรับ API ในหลายรูปแบบทั้ง RESTful, GraphQL, SOAP, XML-RPC และ JSON-RPC
- สามารถทดสอบจำลองทราฟฟิคอันตรายได้มากกว่า 200 รูปแบบ
- ผนวกเข้ากับกระบวนการ CI/CD ขององค์กรได้
- บล็อกการโจมตี API ได้ทันทีและสร้าง Workflow เพื่อช่วยการทำงานของทีม SOC ได้
ตรวจสอบทุกการใช้งานและข้อมูลด้วย IBM Security Verify และ IBM Guardium Data Protection
แม้ว่าในระดับ API จะมีการป้องกันอย่างแข็งแกร่งแล้ว แต่แน่นอนว่าทุกการป้องกันพื้นฐานต้องเริ่มต้นจาก Authentication และ Authorization ที่รัดกุม โดยโซลูชัน IBM Security Verify คือสิ่งที่ออกแบบมาเพื่อตอบโจทย์นั้น เช่น การทำ MFA, SSO, พิจารณาบริบทการเข้าใช้งาน (เช่น การตรวจสอบพิกัดหรือที่มา IP เป็นต้น), การประเมินระดับความเสี่ยง และการปฏิบัติตามข้อกำหนดของ GDPR หรือ PDPA ที่ระบุกำหนดกลไกการป้องกันเพื่อเข้าถึงข้อมูลสำคัญ ตลอดจากการออก Token ให้การเข้าถึงโดยไม่ต้องใช้ API Keys ลดความเสี่ยงในการถูกโจมตีด้วย
นอกจากนี้ IBM Security Verify ยังมีฟีเจอร์ระดับองค์กรสำหรับด้านการบริหารจัดการให้เป็นไปตามระเบียบข้อบังคับที่เรียกว่า Identity Governance and Administration(IDA) เช่น การจัดการบัญชีพนักงานที่ลาออกไปแล้ว กำหนดสิทธิ์ตามหน้าที่ และตรวจสอบระดับของสิทธิ์ที่อาจไม่สอดคล้องกับหน้าที่ ยกตัวอย่างกรณีที่พนักงานลาออกเบื้องต้นองค์กรอาจทำการหยุดความสามารถของบัญชีนั้นไว้ก่อนได้ช่วงเวลาหนึ่งให้แน่ใจเสียก่อนว่าไม่จำเป็นต้องใช้บัญชีนั้นแล้ว เป็นต้น
ข้อมูลของธุรกิจเป็นเรื่องสำคัญเสมอ โดยในแต่ละธุรกิจต่างมีประเด็นความละเอียดอ่อนของข้อมูลต่างกัน อย่างกรณีของโรงงานก็อาจจะเป็นเรื่องของลิขสิทธ์ทางปัญญาของผลิตภัณฑ์ใหม่ที่ถูกคิดค้นขึ้นและไม่ควรถูกขโมยออกไปได้ ในขณะที่ธุรกิจค้าปลีกอาจจะเป็นประเด็นเรื่องของข้อมูลชำระเงินและข้อมูลส่วนตัวของลูกค้า แต่สำหรับบริการด้านสุขภาพจะเป็นข้อมูลโรคภัยหรือสุขภาพที่ไม่ควรถูกเผยแพร่ออกไป โดยแม้เราจะกำหนดสิทธิ์ของผู้ใช้และวิธีการของ API มาเป็นอย่างดีแล้ว แต่ฐานข้อมูลเองก็ควรได้รับการป้องกันด้วย
IBM Guardium Data Protection คือโซลูชันที่ถูกออกแบบมาให้องค์กรสามารถค้นหาและกำหนดการเข้าถึงข้อมูลในฐานข้อมูลได้อย่างเหมาะสม ว่าตำแหน่งหน้าที่ใดจะสามารถเข้าถึงข้อมูลใดในฐานข้อมูลได้บ้าง และจะทำอย่างไรที่จะให้เป็นไปตามระเบียบข้อบังคับขององค์กรหรือกฏหมายข้อมูลส่วนบุคคล หรือทำการเข้ารหัสข้อมูลในฐานข้อมูล นอกจากนี้ยังมีการวิเคราะห์พฤติกรรมการเข้าถึงข้อมูลโดย Machine Learning ด้วย เพราะในโลกการทำงานจริง Database มีลำดับชั้นหรือการจัดระเบียบข้อมูลซับซ้อนกว่าที่คิด
ติดตามข้อมูลเพิ่มเติมได้ในวีดีโอย้อนหลังงาน CU Webinar ตามด้านล่าง
ท่านใดสนใจโซลูชัน IBM API Security และ Noname Security สามารถติดต่อสอบถามข้อมูลเพิ่มเติมได้ที่
บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด
โทร 02 311 6881 #7156 หรือ email : cu_mkt@cu.co.th
และ บริษัท Guru Services คุณวทินา 081-899-6389