Các API đang ngày càng trở thành mục tiêu ưa thích của tin tặc để chúng tìm cách xâm nhập vào môi trường đám mây bằng phần mềm độc hại như cryptojacking và ransomware. Hiện nay, công ty 42Crunch và Cisco đang giải quyết những mối đe dọa này bằng cách ủng hộ phương pháp tiếp cận “shift-left” đối với bảo mật và khám phá API giúp các nhà phát triển có thể bảo vệ mã trong quy trình xây dựng API.
Mặc dù việc sử dụng dịch vụ đám mây mang lại cho các doanh nghiệp nhiều lợi ích bảo mật, nhưng kéo theo đó là việc các lỗ hổng bảo mật mới vẫn tiếp tục phát sinh mang lại cho tin tặc những con đường mới để tấn công vào các môi trường dựa trên đám mây. Một trong những con đường tấn công như vậy là API. Mọi thiết bị di động được kết nối, các website hiện đại hoặc ứng dụng được lưu trữ trên đám mây đều sử dụng và hiển thị các API. Các API này cho phép truy cập vào dữ liệu và sử dụng chức năng của các ứng dụng.
Mặc dù chúng khá dễ bị lộ, nhưng lại rất khó để bảo vệ trước các cuộc tấn công API. Hơn thế nữa, các shadow API và API zombie (các API không dùng đến nữa mà doanh nghiệp cho rằng đã bị vô hiệu hóa) xuất hiện đầy rẫy, cách kiểm tra lỏng lẻo, thông số kỹ thuật API không đầy đủ dẫn đến các vấn đề xác thực và ủy quyền thường tăng lên. Để giải quyết những thách thức này, 42Crunch đã hợp tác với Cisco để tạo ra APIClarity, một công cụ mã nguồn mở mới để cải thiện cấu hình và bảo vệ các API.
Trong một nghiên cứu gần đây về Cảnh quan đe doạ đám mây, IBM phát hiện ra rằng 2/3 số vụ vi phạm đám mây có thể là do các API được định cấu hình sai.
Ngày nay, APIClarity sử dụng khung Service Mesh để khám phá các API và có thể được sử dụng cùng với các khả năng Kiểm tra API của 42Crunch để cải thiện cấu hình API. Biết thông số kỹ thuật API là bước đầu tiên để xác định các rủi ro API và APIClarity nắm bắt tất cả lưu lượng API hiện có, đồng thời xây dựng thông số kỹ thuật OpenAPI bằng cách quan sát lưu lượng API và cho phép người dùng tải lên thông số kỹ thuật OpenAPI để xem xét, sửa đổi và phê duyệt các thông số kỹ thuật đã tạo.
APIClarity cảnh báo người dùng về sự khác biệt giữa thông số kỹ thuật API đã được phê duyệt và đặc điểm kỹ thuật được quan sát trong thời gian chạy, đồng thời phát hiện các shadow API và API zombie bằng cách kiểm tra bảng điều khiển giao diện người dùng và giám sát các phát hiện API.
Ông Vijoy Pandey, Phó chủ tịch của Emerging Technologies and Incubations tại Cisco cho biết: “Có một chiến lược bảo mật API mạnh mẽ là rất quan trọng để các doanh nghiệp thành công với các dự án chuyển đổi kỹ thuật số của mình. Ra mắt APIClarity thể hiện một bước quan trọng trong việc cung cấp giải pháp bảo mật API end-to-end cho môi trường đám mây doanh nghiệp. Chúng tôi rất vui mừng về tiềm năng của APIClarity để trao quyền cho các nhà phát triển áp dụng cách tiếp cận bảo mật dưới dạng mã hóa để bảo vệ API của họ và tiếp tục làm việc với các tổ chức như 42Crunch, những người có cùng tầm nhìn để phát triển bảo mật API cao hơn nữa”.
Bà Isabelle Mauny, CTO và đồng sáng lập của 42Crunch, cho biết: “Các nhóm bảo mật và API ngày nay giống như đang đứng ở ngã ba đường. Họ có thể cố gắng tiếp tục chặn các mối đe dọa API, sau khi chúng đã được xác định và gây ra thiệt hại tiềm ẩn hoặc họ có thể áp dụng các phương pháp phòng ngừa bằng cách mã hóa bảo mật vào API của họ tại thời điểm thiết kế để bảo vệ trong suốt vòng đời của API. Sáng kiến này của 42Crunch và Cisco đã trao quyền cho các nhà phát triển các công cụ để xây dựng và tự động hóa bảo mật trong quy trình phát triển API của họ. Nó cũng đảm bảo các nhóm bảo mật duy trì toàn quyền kiểm soát việc thực thi chính sách bảo mật ở mọi giai đoạn của vòng đời API, từ thiết kế đến bảo vệ trong thời gian chạy”.
Quốc Trường
(Theo Helpnetsecurity)
08:00 | 30/09/2021
09:00 | 23/11/2021
13:00 | 27/04/2022
07:00 | 20/05/2022
14:00 | 11/02/2022
09:00 | 19/04/2022
17:00 | 09/10/2021
09:00 | 12/03/2021
09:00 | 16/11/2021
12:00 | 12/04/2024
Theo một nghiên cứu của công ty công nghệ Veritas (Mỹ) công bố, cứ 11 giây trôi qua thế giới lại ghi nhận một vụ tấn công mạng nhằm vào các tổ chức, doanh nghiệp lớn, đặc biệt là lĩnh vực tài chính.
10:00 | 28/03/2024
Một công dân Trung Quốc và là cựu kỹ sư phần mềm Google đã bị truy tố vì bị cáo buộc đánh cắp các tập tin nhạy cảm và bí mật thương mại liên quan đến công nghệ AI của Google.
14:00 | 25/03/2024
Sáng 25/3, tại Hà Nội, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã có buổi làm việc với Ban Cơ yếu Chính phủ.
16:00 | 01/02/2024
Hòa chung khí thế tưng bừng, phấn khởi của cả nước kỷ niệm 94 năm Ngày thành lập Đảng Cộng sản Việt Nam và chào đón Xuân Giáp Thìn 2024, sáng ngày 01/02, tại Hà Nội, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ long trọng tổ chức Lễ kỷ niệm 20 năm Ngày truyền thống của Trung tâm (05/02/2004 - 05/02/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
Sáng ngày 01/4, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã trao quyết định bổ nhiệm Phó Tổng Biên tập Tạp chí An toàn thông tin cho đồng chí Đỗ Thục Anh.
17:00 | 01/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024