Pengaruh API dalam Security
Keamanan yang baik tidak lebih penting, sebelum serangan terhadap permukaan terus membesar dalam beberapa tahun terakhir. Satu alasannya yaitu API. 10 tahun lalu perusahaan membangun aplikasi perusahaan monolitik dengan jumlah yang terbatas dari antar muka easy-to-secure. Saat ini, bagaimanapun juga, pengembang aplikasi memecah aplikasi menjadi layanan terpisah dan mengeluarkan fungsi aplikasi sebagai Web API yang mengakses system. API dapat diakses melalui berbagai perangkat – mulai dari desktop pc sampai ke perangkat mobile, smart tv, game console dan bahkan salah satu perangkat dari IOT. “Apa yang telah dilihat adalah aplikasi yang mudah dipecah atau dibagi-bagi menjadi micro-services, dan ketika hal tersebut dilakukan maka menciptakan lebih banyak antarmuka dan membuka antarmuka tersebut. Sehingga penyerangan terhadap aplikasi jadi lebih besar,” kata Subra Kumaraswamy, Head of Product Security di Apigee (vendor API Security). “Hackers tidak lagi menyerang satu aplikasi; mereka dapat melihat banyak layanan. Sehingga resikonya menjadi lebih besar ketika harckers mendapat akses ke data.” Tidak diragukan lagi API menghasillkan resiko security, dan hacker mencuri data melalui API tersebut. Contohnya adalah diawal tahun harcker mencuri informasi pajak dari lebih 100.000 pembayar pajak menggunakan IRS “get transcript” API – dimana segera ditutup ketika ditemukan. API dan mencari jalan lain API hadir dengan extra masalah pada perusahaan karena kemampuannya, ujar Kumaraswamy. “Sebelumnya, harcker perlu duduk dibelakan konsol dan mencoba berbagai cara untuk menemukan celah. Tetapi kareana API sangat mudah diprogram, mereka merancang serangan. Hacker dapat membuat system untuk dapat menyerang secara otomatis dengan berbagai cara.” Kumaraswamy menambahkan, API menjadi sangat signifikan menciptakan biaya operasi, sehingga banyak perusahaan menggunakan cara lain kuntuk mengamankannya. Kumaraswamy juga menyatakan “API lebih sering dibuat sebagai bagian dari mobile dan ukuran kesuksesan bisnis yang diadopsi oleh user. Terkadang hal tersebut berarti perusahaan tidak memperhatikan aspek security dari API. Bisnis harus berjalan dengan baik dan security terkadang menjadi prioritas kedua.”
Dapatkah API memberikan keamanan? Beberapa bisnis terlambat keluar dari masalah keamanan API, dan banyak perusahaan menawarkan produk API Security untuk membantu meminimalkan serangan yang dihasilkan oleh API. Menurut Gartner, Pasar dari aplikasi layanan pemerintah dan API management pada tahun 2014 disekitar 618 milyar dolar amerika (155 juta dolar amerika di cloud). Pasar masih relative belum stabil, meskipun, Kumaraswamy meng-estimasi hanya 5-10% dari perusahaan menawarkan penggunaan API sebagai produk.
Bagaimana produk API security dapat membantu? Umumnya, platform API security dapat :· Membantu mengekspos system pencatatan dan system serta aplikasi lain secara aman melalui API dengan penerapan kebijakan yang konsisten. (misalnya autentikasi).· Membantu dan mengelola developer aplikasi project, internal perusahaan dan pihak ketiga sehingga mereka dapat membuat aplikasi menggunakan API tersebut.· Memungkinkan perusahaan memilih aplikasi, developer dan partner yang dapat mengakses API tertentu.· Membantu mengamankan data sesuai dengan aturan dan kebutuhan lainnya. Paolo Malinverno dari Gartner, mengkategorikan fungsionalitas yang disediakan produk API security ke beberapa area yaitu :· Planning dan desain· Implementasi· Basic dan advanced penyebaran dan jalannya API· Pembaharuan dan Masa Berlaku Aplikasi Secara efektif, hal-hal tersebut diatas menjelaskan mengelola API selama siklus nya, dari mulai awal dibuat, digunakan, dikembangkan sampai sudah tidak dapat digunakan kembali. Semua hal tentang API management.Pada umumnya, banyak produk API security sebenarnya merupakan produk API manajemen yang dapat dikontrol secara terpusat dan memungkinkan security dan kebijakan yang lain dapat diaplikasikan secara sistematik dan dengan berbagai cara. API management juga dapat membantu menyatukan API yang tidak terkontrol, yang dihasilkan ketika API pertama kali dibuat dari berbagai pendekatan keamanan yang konsisten. Selain itu, API management juga dapat membantu mencegah API dibiarkan begitu saja daripada diamankan. Kumaraswamy mengungkapkan “Ketika perusahaan memiliki visibility melalui API untuk perusahaan, perusahaan dapat memiliki control. Perusahaan dapat menentukan API tertentu yang dapat diekspos ke developer internal, bukan eksternal atau third party. Jika perusahaan tidak memiliki visibility, maka tidak dapat diketahui siapa saja yang mengakses API tertentu.” Kumaraswamy juga menambahkan “ Jika perusahaan memiliki API yang terpisah-pisah, hal tersebut sangat buruk. API management memastikan bahwa perusahaan memiliki konsistensi dan tidak membuat duplikasi API. Contohnya adalah, jika perusahaan memiliki lima departemen yang menggunakan lima autentikasi yang berbeda untuk API, hal tersebut tidak konsisten. Suatu management produk memungkinkan perusahaan melakukan 2 autentikasi jika itu diperlukan. Perusahaan dapat menggunakan dan tidak menggunakan kebijakan dan mengamankan API dalam satu waktu.” Manajemen API mendatang Paulo Malinverno dari Gartner menyatakan bahwa pada suatu waktu, beberapa perusahaan memberikan API informasi yang sensitive dan membutuhkan produk API security. Tetapi Paulo percaya pada akhirnya peningkatan popularitas API dapat mematikan pasar produk API security. Paulo Malinverno juga menambahkan bahwa API akan terus berkembang dan digunakan dimana saja. Manajemen API akan tetap digunakan 3-4 tahun mendatang, tapi itu akan menjadi bagian dari produk yang lebih besar seperti manajemen apilikasi yang umum. Paulo juga menyatakan bahwa pasar juga akan mengkonsolidasikan lebih lanjut dengan vendor independen untuk diakusisi oleh vendor perangkat lunak yang lebih besar. Hal tersebut belum dapat mengakhiri perangkat lunak API security, melalui, dan vendor perangkat lunak besar termasuk nama-nama terkenal dan spesialis API security yang lebih kecil.
Comments :