Các chuyên gia từ lâu đã lo lắng về những rủi ro bảo mật liên quan đến việc sử dụng rộng rãi API. Công ty tư vấn và nghiên cứu toàn cầu Gartner đã viết trong một báo cáo rằng vào năm 2022, lạm dụng API sẽ trở thành cuộc tấn công phổ biến nhất. Trong một nghiên cứu năm 2019, Gartner phát hiện ra rằng 40% các ứng dụng hỗ trợ web sẽ có nhiều không gian để tấn công dưới dạng API tiếp xúc hơn là giao diện người dùng và dự đoán rằng con số này sẽ tăng lên 90% vào năm 2021.
Báo cáo "Tình trạng bảo mật API - Quý 1 năm 2021" của Salt Security xác nhận những lo ngại đó và phát hiện ra rằng trong số gần 200 chuyên gia bảo mật doanh nghiệp được khảo sát, 91% đã gặp sự cố bảo mật API vào năm ngoái.
Trong dữ liệu khách hàng của chính Salt Security, các nhà nghiên cứu phát hiện ra rằng 56% khách hàng phải đối mặt với từ 10 đến 55 cuộc tấn công mỗi tháng, trong khi 22% đối phó với khoảng từ 51 đến 200 cuộc tấn công mỗi tháng.
Roey Eliyahu, Giám đốc điều hành và đồng người sáng lập Salt Security cho biết: "Trong nền kinh tế kỹ thuật số ngày nay, các API là cổng trực tiếp dẫn đến dữ liệu và tài sản quan trọng nhất của tổ chức. Được xây dựng để cho phép khách hàng và đối tác, các API này tạo ra rủi ro bằng cách cung cấp một con đường cho tin tặc theo dõi. Khi các API đã phát triển về số lượng và chức năng, chúng đã trở thành mục tiêu hấp dẫn hơn bao giờ hết đối với tin tặc, làm tăng số lượng và mức độ tinh vi của các cuộc tấn công API".
Nghiên cứu đưa ra những thông tin chi tiết thu thập được từ cuộc khảo sát khoảng 200 CIO hoặc những người liên quan đến an ninh mạng và DevOps cũng như dữ liệu ẩn danh từ khách hàng của Salt Security.
Nhìn chung, Salt nhận thấy rằng trong năm 2020, tổng số lượng cuộc gọi API trung bình hàng tháng cho mỗi khách hàng đã tăng từ 272 triệu cuộc gọi mỗi tháng lên 410 triệu vào cuối năm 2020, chủ yếu thông qua một số kết hợp các chức năng mới trong các API hiện có, các điểm cuối API mới và các API mới.
Nhưng với sự gia tăng các lệnh gọi đã dẫn đến sự gia tăng tương ứng về lưu lượng truy cập độc hại được nhắm mục tiêu vào các API, Salt Security đo lường mức tăng 211% về lưu lượng truy cập độc hại vào năm 2020. Lượng truy cập độc hại ở mức thấp, tuy nhiên tỷ lệ lưu lượng truy cập độc hại đã tăng từ 0,45% của tất cả lưu lượng truy cập API của khách hàng đến 1,40%.
Đáng báo động là cuộc khảo sát cho thấy, hơn 25% các tổ chức xây dựng API không có chiến lược bảo mật cho API nào cả. Các API trong môi trường sản xuất này là điểm đáng lo ngại, với hơn 50% người được khảo sát đã tìm thấy lỗ hổng bảo mật trong đó. Kết quả khảo sát cũng lưu ý rằng, các loại lỗ hổng bảo mật này thường không được khắc phục.
Những lo ngại về bảo mật API cũng là lý do tại sao các tổ chức trì hoãn việc triển khai các ứng dụng mới (66% số người được khảo sát).
Trong 12 tháng qua, 54% người được khảo sát cho biết họ đã tìm thấy lỗ hổng trong các API trong môi trường sản xuất và 48% cho biết họ gặp vấn đề về xác thực. Những người khác nêu vấn đề với bot, khai thác dữ liệu và tấn công từ chối dịch vụ.
Nghiên cứu lưu ý rằng, tất cả khách hàng của công ty bảo mật đã thấy các cuộc tấn công có thể vượt qua các cổng WAF và cổng API nhưng hơn một nửa số người được khảo sát trong cuộc khảo sát cho biết họ sử dụng cảnh báo từ các cổng WAF hoặc cổng API để xác định các cuộc tấn công API.
Gần 60% số người được khảo sát cũng cho biết họ sử dụng tệp nhật ký để xác định các cuộc tấn công. Tuy nhiên, 1/10 số người được khảo sát cho biết họ không có cách để xác định bất kỳ cuộc tấn công API nào. Gần 80% cho rằng hệ thống nhận dạng tấn công API hiện tại của họ không có hiệu quả đáng kể.
Các nhà nghiên cứu cho biết: “Tin xấu là một tỷ lệ cao những người được khảo sát đang thực thi các API mà không có chiến lược bảo mật đi kèm. Tin tốt là 2/3 số người được khảo sát nói rằng các nhóm bảo mật của họ tập trung vào các mối đe dọa hàng đầu của OWASP API Security Top 10. Có quá nhiều tổ chức đã không chuyển trọng tâm của OWASP API Top 10 thành chiến lược bảo mật API".
Theo nghiên cứu, các tổ chức cũng đang gặp vấn đề trong việc tạo ra kho API. Báo cáo cho biết tài liệu API thường bị thiếu, không đầy đủ hoặc không chính xác và nhận thấy rằng 83% người được khảo sát thiếu tin tưởng vào kho API của họ. Trong số các khách hàng của Salt Security, người ta thường tìm thấy số lượng API gấp 8 lần số lượng API mà doanh nghiệp có trong hồ sơ.
Postman và Swagger là các cơ chế phổ biến nhất được sử dụng để kiểm kê các API, với 42% người được khảo sát nói rằng họ sử dụng Postman trong khi 41% sử dụng Swagger. 28% khác cho biết họ đã sử dụng OpenAPI Generator.
Do những lo ngại được bày tỏ về hàng tồn kho API, có một mối lo ngại tương ứng về các API lỗi thời và "zombie". Gần 60% cho rằng đây là rủi ro liên quan đến bảo mật API mà họ lo ngại, bên cạnh lo ngại về việc chiếm đoạt tài khoản hoặc sử dụng sai mục đích.
Hơn 60% người được khảo sát cho biết một trong những công cụ có giá trị nhất mà họ tìm kiếm là khả năng xác định API nào tiết lộ thông tin nhận dạng cá nhân và phổ biến thứ hai là khả năng ngăn chặn các cuộc tấn công hoàn toàn.
Gần 85% chuyên gia trả lời khảo sát cho biết họ thiếu tự tin về việc biết API nào tiết lộ thông tin nhận dạng cá nhân (PII).
Gần 1/4 các tổ chức thừa nhận họ không có cách nào để biết API nào tiết lộ PII, kết quả trực tiếp của việc kiểm kê API không đầy đủ và tài liệu không chính xác. Phần lớn các tổ chức phụ thuộc vào tài liệu do nhà phát triển tạo hoặc các cổng API để hiểu mức độ hiển thị PII và rõ ràng là thiếu tự tin rằng những cách tiếp cận này là hoàn chỉnh và cung cấp đủ thông tin chi tiết".
"Hầu hết các tổ chức có cổng API đều có nhiều nền tảng, thường là kết hợp các nhà cung cấp và không có quản lý API hợp nhất, gây khó khăn cho việc có được cái nhìn rõ ràng về tất cả các API trong môi trường sản xuất".
Việc thăm dò khách hàng của Salt Security cho thấy, 91% API tiết lộ một số loại dữ liệu nhạy cảm, từ thông tin tài khoản cơ bản đến thông tin nhận dạng cá nhân. Trong cuộc khảo sát, 22% cho biết họ không biết API nào tiết lộ thông tin nhận dạng cá nhân và 57% cho biết họ dựa vào tài liệu đến từ các nhà phát triển.
Khi được hỏi, ai chịu trách nhiệm giám sát tính bảo mật của các API, 25% cho biết đó là công việc của các nhà phát triển tại doanh nghiệp, 21% cho biết nó nằm dưới sự kiểm soát của nhóm DevSecOps và 14% nói rằng họ có một nhóm API.
Eliyahu (Giám đốc điều hành và đồng người sáng lập Salt Security) nói thêm: "Chúng tôi đã biên soạn Báo cáo trạng thái bảo mật API đầu tiên của ngành để hiểu rõ hơn về trải nghiệm doanh nghiệp đối với API ngày nay. Nghiên cứu làm rõ rằng các phương pháp tiếp cận hiện tại của các công ty để bảo mật API có những lỗ hổng khiến họ gặp rủi ro. Nó cũng nhấn mạnh việc các tổ chức cần có cách tiếp cận mới đối với bảo mật API nếu họ muốn tiếp tục đổi mới một cách an toàn và duy trì tính cạnh tranh".
Nguyễn Anh Tuấn (theo TechRepublic)
09:00 | 19/02/2019
08:00 | 30/09/2021
15:00 | 22/12/2020
07:00 | 20/05/2022
16:00 | 13/01/2021
12:00 | 27/10/2021
13:00 | 06/01/2025
Sáng ngày 06/01, Đảng ủy Ban Cơ yếu Chính phủ tổ chức Hội nghị ra nghị quyết lãnh đạo thực hiện nhiệm vụ năm 2025. Đại tướng Nguyễn Tân Cương, Ủy viên Trung ương Đảng, Ủy viên Thường vụ Quân ủy Trung ương, Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam, Thứ trưởng Bộ Quốc phòng dự và chỉ đạo Hội nghị. Thiếu tướng Nguyễn Đăng Lực, Bí thư Đảng ủy, Phó Trưởng ban Cơ yếu Chính phủ chủ trì Hội nghị.
14:00 | 10/12/2024
Ngày 03/12, Cục Điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo về việc gia tăng các nguy cơ lừa đảo sử dụng trí tuệ nhân tạo (AI). Đồng thời cơ quan này cũng đã đưa ra một số ví dụ về các chiến dịch gian lận được hỗ trợ bởi AI và lời khuyên dành cho người dân nhằm bảo vệ bản thân trước tình trạng này.
07:00 | 02/12/2024
GenAI hay AI tạo sinh đang nhanh chóng thay đổi quy trình phát triển phần mềm bằng cách tự động hóa các tác vụ mà trước đây các nhà phát triển phải mất hàng giờ, thậm chí hàng ngày để hoàn thành, giúp tăng cường hiệu quả và năng suất. Thế nhưng, nhiều tổ chức cho rằng chính vì sự phụ thuộc vào GenAI có thể gây ra một số mối lo ngại đối với các nhà phát triển phần mềm và phát sinh nhiều vấn đề liên quan đến bảo mật.
10:00 | 25/11/2024
Ngày 21/11, Hiệp hội An toàn thông tin Việt Nam (trực tiếp là Câu lạc bộ Bảo vệ trẻ em Việt Nam trên không gian mạng) phối hợp với Cục An Toàn thông tin, Bộ TT&TT tổ chức hội thảo “Đẩy mạnh hợp tác bảo vệ trẻ em trên môi trường mạng” dưới sự bảo trợ của Bộ TT&TT.
Sáng ngày 06/01, Đảng ủy Ban Cơ yếu Chính phủ tổ chức Hội nghị ra nghị quyết lãnh đạo thực hiện nhiệm vụ năm 2025. Đại tướng Nguyễn Tân Cương, Ủy viên Trung ương Đảng, Ủy viên Thường vụ Quân ủy Trung ương, Tổng Tham mưu trưởng Quân đội nhân dân Việt Nam, Thứ trưởng Bộ Quốc phòng dự và chỉ đạo Hội nghị. Thiếu tướng Nguyễn Đăng Lực, Bí thư Đảng ủy, Phó Trưởng ban Cơ yếu Chính phủ chủ trì Hội nghị.
13:00 | 06/01/2025
Ngày 07/01, tại Hà Nội, Cục Viễn thông và Cơ yếu Bộ Công an tổ chức Hội nghị tổng kết công tác năm 2025 và triển khai chương trình công tác viễn thông, cơ yếu năm 2025. Trung tướng Lê Văn Tuyến, Thứ trưởng Bộ Công an và Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo Hội nghị.
09:00 | 08/01/2025
Chỉ trong thời gian ngắn, Trung Quốc đã đạt được cột mốc ấn tượng với 1 tỷ thuê bao di động 5G, khẳng định tốc độ triển khai hạ tầng 5G hàng đầu thế giới.
10:00 | 31/12/2024