Các API đang ngày càng trở thành mục tiêu ưa thích của tin tặc để chúng tìm cách xâm nhập vào môi trường đám mây bằng phần mềm độc hại như cryptojacking và ransomware. Hiện nay, công ty 42Crunch và Cisco đang giải quyết những mối đe dọa này bằng cách ủng hộ phương pháp tiếp cận “shift-left” đối với bảo mật và khám phá API giúp các nhà phát triển có thể bảo vệ mã trong quy trình xây dựng API.
Mặc dù việc sử dụng dịch vụ đám mây mang lại cho các doanh nghiệp nhiều lợi ích bảo mật, nhưng kéo theo đó là việc các lỗ hổng bảo mật mới vẫn tiếp tục phát sinh mang lại cho tin tặc những con đường mới để tấn công vào các môi trường dựa trên đám mây. Một trong những con đường tấn công như vậy là API. Mọi thiết bị di động được kết nối, các website hiện đại hoặc ứng dụng được lưu trữ trên đám mây đều sử dụng và hiển thị các API. Các API này cho phép truy cập vào dữ liệu và sử dụng chức năng của các ứng dụng.
Mặc dù chúng khá dễ bị lộ, nhưng lại rất khó để bảo vệ trước các cuộc tấn công API. Hơn thế nữa, các shadow API và API zombie (các API không dùng đến nữa mà doanh nghiệp cho rằng đã bị vô hiệu hóa) xuất hiện đầy rẫy, cách kiểm tra lỏng lẻo, thông số kỹ thuật API không đầy đủ dẫn đến các vấn đề xác thực và ủy quyền thường tăng lên. Để giải quyết những thách thức này, 42Crunch đã hợp tác với Cisco để tạo ra APIClarity, một công cụ mã nguồn mở mới để cải thiện cấu hình và bảo vệ các API.
Trong một nghiên cứu gần đây về Cảnh quan đe doạ đám mây, IBM phát hiện ra rằng 2/3 số vụ vi phạm đám mây có thể là do các API được định cấu hình sai.
Ngày nay, APIClarity sử dụng khung Service Mesh để khám phá các API và có thể được sử dụng cùng với các khả năng Kiểm tra API của 42Crunch để cải thiện cấu hình API. Biết thông số kỹ thuật API là bước đầu tiên để xác định các rủi ro API và APIClarity nắm bắt tất cả lưu lượng API hiện có, đồng thời xây dựng thông số kỹ thuật OpenAPI bằng cách quan sát lưu lượng API và cho phép người dùng tải lên thông số kỹ thuật OpenAPI để xem xét, sửa đổi và phê duyệt các thông số kỹ thuật đã tạo.
APIClarity cảnh báo người dùng về sự khác biệt giữa thông số kỹ thuật API đã được phê duyệt và đặc điểm kỹ thuật được quan sát trong thời gian chạy, đồng thời phát hiện các shadow API và API zombie bằng cách kiểm tra bảng điều khiển giao diện người dùng và giám sát các phát hiện API.
Ông Vijoy Pandey, Phó chủ tịch của Emerging Technologies and Incubations tại Cisco cho biết: “Có một chiến lược bảo mật API mạnh mẽ là rất quan trọng để các doanh nghiệp thành công với các dự án chuyển đổi kỹ thuật số của mình. Ra mắt APIClarity thể hiện một bước quan trọng trong việc cung cấp giải pháp bảo mật API end-to-end cho môi trường đám mây doanh nghiệp. Chúng tôi rất vui mừng về tiềm năng của APIClarity để trao quyền cho các nhà phát triển áp dụng cách tiếp cận bảo mật dưới dạng mã hóa để bảo vệ API của họ và tiếp tục làm việc với các tổ chức như 42Crunch, những người có cùng tầm nhìn để phát triển bảo mật API cao hơn nữa”.
Bà Isabelle Mauny, CTO và đồng sáng lập của 42Crunch, cho biết: “Các nhóm bảo mật và API ngày nay giống như đang đứng ở ngã ba đường. Họ có thể cố gắng tiếp tục chặn các mối đe dọa API, sau khi chúng đã được xác định và gây ra thiệt hại tiềm ẩn hoặc họ có thể áp dụng các phương pháp phòng ngừa bằng cách mã hóa bảo mật vào API của họ tại thời điểm thiết kế để bảo vệ trong suốt vòng đời của API. Sáng kiến này của 42Crunch và Cisco đã trao quyền cho các nhà phát triển các công cụ để xây dựng và tự động hóa bảo mật trong quy trình phát triển API của họ. Nó cũng đảm bảo các nhóm bảo mật duy trì toàn quyền kiểm soát việc thực thi chính sách bảo mật ở mọi giai đoạn của vòng đời API, từ thiết kế đến bảo vệ trong thời gian chạy”.
Quốc Trường
(Theo Helpnetsecurity)
08:00 | 30/09/2021
09:00 | 23/11/2021
13:00 | 27/04/2022
07:00 | 20/05/2022
14:00 | 11/02/2022
09:00 | 19/04/2022
17:00 | 09/10/2021
09:00 | 12/03/2021
09:00 | 16/11/2021
08:00 | 09/04/2024
Sáng ngày 08/4, tại Hà Nội đã diễn ra Hội nghị thượng đỉnh về Công nghệ thông tin và Nguồn mở châu Á - FOSSASIA Summit 2024. Sự kiện năm nay sẽ diễn ra trong ba ngày 08-10/4 và được tổ chức bởi FOSSASIA, Hiệp hội Internet Việt Nam (VIA), Học viện Công nghệ Bưu chính Viễn thông và Câu lạc bộ phần mềm tự do nguồn mở Việt Nam (VFOSSA).
17:00 | 01/04/2024
Trong 02 ngày 30 - 31/3/2024, Đoàn thiện nguyện của Tạp chí An toàn thông tin và Thanh tra Cơ yếu đã đồng hành cùng Đội sinh viên làm Công tác xã hội, trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức chương trình thiện nguyện “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
10:00 | 04/03/2024
Apple đang tung ra giao thức bảo mật iMessage mới nhất của mình, PQ3, cùng với các bản cập nhật hệ điều hành tiếp theo cho tất cả các sản phẩm của Apple sử dụng ứng dụng nhắn tin được mã hóa hai đầu.
12:00 | 29/02/2024
Meta Platforms đã thực hiện một loạt các biện pháp nhằm hạn chế các hoạt động gián điệp mạng từ 8 công ty khác nhau có trụ sở tại Ý, Tây Ban Nha và Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Những phần mềm gián điệp này nhắm mục tiêu vào các thiết bị iOS, Android và Windows.
Đoàn Công tác số 8 đi thăm các chiến sĩ và nhân dân trên quần đảo Trường Sa đã thành công tốt đẹp. Hành trình để lại nhiều cảm xúc với các thành viên đoàn công tác nhất là khi tham dự những buổi Lễ đặc biệt như: Lễ Giỗ Tổ Hùng Vương, Lễ dâng hương tưởng niệm các anh hùng liệt sĩ hi sinh khi làm nhiệm vụ trên quần đảo Trường Sa, Lễ chào cờ trên đảo Trường Sa.
11:00 | 26/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024