Các API đang ngày càng trở thành mục tiêu ưa thích của tin tặc để chúng tìm cách xâm nhập vào môi trường đám mây bằng phần mềm độc hại như cryptojacking và ransomware. Hiện nay, công ty 42Crunch và Cisco đang giải quyết những mối đe dọa này bằng cách ủng hộ phương pháp tiếp cận “shift-left” đối với bảo mật và khám phá API giúp các nhà phát triển có thể bảo vệ mã trong quy trình xây dựng API.
Mặc dù việc sử dụng dịch vụ đám mây mang lại cho các doanh nghiệp nhiều lợi ích bảo mật, nhưng kéo theo đó là việc các lỗ hổng bảo mật mới vẫn tiếp tục phát sinh mang lại cho tin tặc những con đường mới để tấn công vào các môi trường dựa trên đám mây. Một trong những con đường tấn công như vậy là API. Mọi thiết bị di động được kết nối, các website hiện đại hoặc ứng dụng được lưu trữ trên đám mây đều sử dụng và hiển thị các API. Các API này cho phép truy cập vào dữ liệu và sử dụng chức năng của các ứng dụng.
Mặc dù chúng khá dễ bị lộ, nhưng lại rất khó để bảo vệ trước các cuộc tấn công API. Hơn thế nữa, các shadow API và API zombie (các API không dùng đến nữa mà doanh nghiệp cho rằng đã bị vô hiệu hóa) xuất hiện đầy rẫy, cách kiểm tra lỏng lẻo, thông số kỹ thuật API không đầy đủ dẫn đến các vấn đề xác thực và ủy quyền thường tăng lên. Để giải quyết những thách thức này, 42Crunch đã hợp tác với Cisco để tạo ra APIClarity, một công cụ mã nguồn mở mới để cải thiện cấu hình và bảo vệ các API.
Trong một nghiên cứu gần đây về Cảnh quan đe doạ đám mây, IBM phát hiện ra rằng 2/3 số vụ vi phạm đám mây có thể là do các API được định cấu hình sai.
Ngày nay, APIClarity sử dụng khung Service Mesh để khám phá các API và có thể được sử dụng cùng với các khả năng Kiểm tra API của 42Crunch để cải thiện cấu hình API. Biết thông số kỹ thuật API là bước đầu tiên để xác định các rủi ro API và APIClarity nắm bắt tất cả lưu lượng API hiện có, đồng thời xây dựng thông số kỹ thuật OpenAPI bằng cách quan sát lưu lượng API và cho phép người dùng tải lên thông số kỹ thuật OpenAPI để xem xét, sửa đổi và phê duyệt các thông số kỹ thuật đã tạo.
APIClarity cảnh báo người dùng về sự khác biệt giữa thông số kỹ thuật API đã được phê duyệt và đặc điểm kỹ thuật được quan sát trong thời gian chạy, đồng thời phát hiện các shadow API và API zombie bằng cách kiểm tra bảng điều khiển giao diện người dùng và giám sát các phát hiện API.
Ông Vijoy Pandey, Phó chủ tịch của Emerging Technologies and Incubations tại Cisco cho biết: “Có một chiến lược bảo mật API mạnh mẽ là rất quan trọng để các doanh nghiệp thành công với các dự án chuyển đổi kỹ thuật số của mình. Ra mắt APIClarity thể hiện một bước quan trọng trong việc cung cấp giải pháp bảo mật API end-to-end cho môi trường đám mây doanh nghiệp. Chúng tôi rất vui mừng về tiềm năng của APIClarity để trao quyền cho các nhà phát triển áp dụng cách tiếp cận bảo mật dưới dạng mã hóa để bảo vệ API của họ và tiếp tục làm việc với các tổ chức như 42Crunch, những người có cùng tầm nhìn để phát triển bảo mật API cao hơn nữa”.
Bà Isabelle Mauny, CTO và đồng sáng lập của 42Crunch, cho biết: “Các nhóm bảo mật và API ngày nay giống như đang đứng ở ngã ba đường. Họ có thể cố gắng tiếp tục chặn các mối đe dọa API, sau khi chúng đã được xác định và gây ra thiệt hại tiềm ẩn hoặc họ có thể áp dụng các phương pháp phòng ngừa bằng cách mã hóa bảo mật vào API của họ tại thời điểm thiết kế để bảo vệ trong suốt vòng đời của API. Sáng kiến này của 42Crunch và Cisco đã trao quyền cho các nhà phát triển các công cụ để xây dựng và tự động hóa bảo mật trong quy trình phát triển API của họ. Nó cũng đảm bảo các nhóm bảo mật duy trì toàn quyền kiểm soát việc thực thi chính sách bảo mật ở mọi giai đoạn của vòng đời API, từ thiết kế đến bảo vệ trong thời gian chạy”.
Quốc Trường
(Theo Helpnetsecurity)
08:00 | 30/09/2021
09:00 | 23/11/2021
13:00 | 27/04/2022
07:00 | 20/05/2022
14:00 | 11/02/2022
09:00 | 19/04/2022
17:00 | 09/10/2021
09:00 | 12/03/2021
09:00 | 16/11/2021
13:00 | 02/12/2024
Từ ngày 26 - 28/11, tại Australia, Hội nghị AISA CyberCon 2024 đã diễn ra thành công, thu hút sự tham gia của hàng nghìn chuyên gia hàng đầu trong lĩnh vực an ninh mạng đến từ nhiều quốc gia trên thế giới. Với chủ đề "Future is Now", sự kiện đã mang đến góc nhìn toàn diện về những thách thức và cơ hội mới trong lĩnh vực an ninh mạng, đồng thời cung cấp những giải pháp và công cụ hữu ích để đối phó với các mối đe dọa ngày càng gia tăng.
09:00 | 20/11/2024
Nhân dịp kỷ niệm 20 năm đào tạo ngành An toàn thông tin tại Học viện Kỹ thuật mật mã (2004 - 2024), Trưởng ban Ban Cơ yếu Chính phủ vừa gửi lời chúc tới Ban Giám đốc, các thầy cô giáo cùng toàn thể cán bộ, nhân viên, học viên và sinh viên của Học viện. Dưới đây là toàn văn bức thư.
13:00 | 31/10/2024
Từ ngày 14 - 20/10, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã ghi nhận 5.058 phản ánh trường hợp lừa đảo trực tuyến do người dùng internet gửi về. Trong đó, có 190 trường hợp phản ánh được tiếp nhận thông qua Trang cảnh báo an toàn thông tin Việt Nam (canhbao.khonggianmang.vn); 4.868 trường hợp phản ánh qua tổng đài 156/5656.
13:00 | 09/10/2024
Một vụ lừa đảo gây chấn động thị trường âm nhạc Mỹ và thế giới vừa bị phá vỡ. Cục Điều tra liên bang Mỹ (FBI) thông báo đã bắt giữ Michael Smith, 52 tuổi, một nhà sản xuất âm nhạc có tiếng tăm trên các nền tảng như Spotify, Amazon và Apple Music, với cáo buộc lừa dối và thu lợi bất chính hàng triệu USD tiền bản quyền bằng các bài hát do trí tuệ nhân tạo (AI) tạo ra.
Sau phán quyết của tòa án về hành vi độc quyền của Google, Bộ Tư pháp Mỹ yêu cầu công ty này phải tách rời trình duyệt Chrome.
11:00 | 29/11/2024
Nhân dịp Kỷ niệm 80 năm Ngày thành lập Quân đội nhân dân Việt Nam (22/12/1944 - 22/12/2024) và 35 năm Ngày hội Quốc phòng toàn dân (22/12/1989 - 22/12/2024), Ban Cơ yếu Chính phủ tổ chức các hoạt động tri ân tại tỉnh Quảng Ninh.
09:00 | 14/11/2024
Theo Tổ chức Thương mại thế giới (WTO), trí tuệ nhân tạo (AI) có thể giảm chi phí giao dịch, thay đổi ngành dịch vụ, thúc đẩy thương mại liên quan đến AI và định hình lại lợi thế cạnh tranh của các quốc gia.
17:00 | 29/11/2024