Các chuyên gia từ lâu đã lo lắng về những rủi ro bảo mật liên quan đến việc sử dụng rộng rãi API. Công ty tư vấn và nghiên cứu toàn cầu Gartner đã viết trong một báo cáo rằng vào năm 2022, lạm dụng API sẽ trở thành cuộc tấn công phổ biến nhất. Trong một nghiên cứu năm 2019, Gartner phát hiện ra rằng 40% các ứng dụng hỗ trợ web sẽ có nhiều không gian để tấn công dưới dạng API tiếp xúc hơn là giao diện người dùng và dự đoán rằng con số này sẽ tăng lên 90% vào năm 2021.
Báo cáo "Tình trạng bảo mật API - Quý 1 năm 2021" của Salt Security xác nhận những lo ngại đó và phát hiện ra rằng trong số gần 200 chuyên gia bảo mật doanh nghiệp được khảo sát, 91% đã gặp sự cố bảo mật API vào năm ngoái.
Trong dữ liệu khách hàng của chính Salt Security, các nhà nghiên cứu phát hiện ra rằng 56% khách hàng phải đối mặt với từ 10 đến 55 cuộc tấn công mỗi tháng, trong khi 22% đối phó với khoảng từ 51 đến 200 cuộc tấn công mỗi tháng.
Roey Eliyahu, Giám đốc điều hành và đồng người sáng lập Salt Security cho biết: "Trong nền kinh tế kỹ thuật số ngày nay, các API là cổng trực tiếp dẫn đến dữ liệu và tài sản quan trọng nhất của tổ chức. Được xây dựng để cho phép khách hàng và đối tác, các API này tạo ra rủi ro bằng cách cung cấp một con đường cho tin tặc theo dõi. Khi các API đã phát triển về số lượng và chức năng, chúng đã trở thành mục tiêu hấp dẫn hơn bao giờ hết đối với tin tặc, làm tăng số lượng và mức độ tinh vi của các cuộc tấn công API".
Nghiên cứu đưa ra những thông tin chi tiết thu thập được từ cuộc khảo sát khoảng 200 CIO hoặc những người liên quan đến an ninh mạng và DevOps cũng như dữ liệu ẩn danh từ khách hàng của Salt Security.
Nhìn chung, Salt nhận thấy rằng trong năm 2020, tổng số lượng cuộc gọi API trung bình hàng tháng cho mỗi khách hàng đã tăng từ 272 triệu cuộc gọi mỗi tháng lên 410 triệu vào cuối năm 2020, chủ yếu thông qua một số kết hợp các chức năng mới trong các API hiện có, các điểm cuối API mới và các API mới.
Nhưng với sự gia tăng các lệnh gọi đã dẫn đến sự gia tăng tương ứng về lưu lượng truy cập độc hại được nhắm mục tiêu vào các API, Salt Security đo lường mức tăng 211% về lưu lượng truy cập độc hại vào năm 2020. Lượng truy cập độc hại ở mức thấp, tuy nhiên tỷ lệ lưu lượng truy cập độc hại đã tăng từ 0,45% của tất cả lưu lượng truy cập API của khách hàng đến 1,40%.
Thiếu chiến lược bảo mật
Đáng báo động là cuộc khảo sát cho thấy, hơn 25% các tổ chức xây dựng API không có chiến lược bảo mật cho API nào cả. Các API trong môi trường sản xuất này là điểm đáng lo ngại, với hơn 50% người được khảo sát đã tìm thấy lỗ hổng bảo mật trong đó. Kết quả khảo sát cũng lưu ý rằng, các loại lỗ hổng bảo mật này thường không được khắc phục.
Những lo ngại về bảo mật API cũng là lý do tại sao các tổ chức trì hoãn việc triển khai các ứng dụng mới (66% số người được khảo sát).
Trong 12 tháng qua, 54% người được khảo sát cho biết họ đã tìm thấy lỗ hổng trong các API trong môi trường sản xuất và 48% cho biết họ gặp vấn đề về xác thực. Những người khác nêu vấn đề với bot, khai thác dữ liệu và tấn công từ chối dịch vụ.
Nghiên cứu lưu ý rằng, tất cả khách hàng của công ty bảo mật đã thấy các cuộc tấn công có thể vượt qua các cổng WAF và cổng API nhưng hơn một nửa số người được khảo sát trong cuộc khảo sát cho biết họ sử dụng cảnh báo từ các cổng WAF hoặc cổng API để xác định các cuộc tấn công API.
Gần 60% số người được khảo sát cũng cho biết họ sử dụng tệp nhật ký để xác định các cuộc tấn công. Tuy nhiên, 1/10 số người được khảo sát cho biết họ không có cách để xác định bất kỳ cuộc tấn công API nào. Gần 80% cho rằng hệ thống nhận dạng tấn công API hiện tại của họ không có hiệu quả đáng kể.
Các nhà nghiên cứu cho biết: “Tin xấu là một tỷ lệ cao những người được khảo sát đang thực thi các API mà không có chiến lược bảo mật đi kèm. Tin tốt là 2/3 số người được khảo sát nói rằng các nhóm bảo mật của họ tập trung vào các mối đe dọa hàng đầu của OWASP API Security Top 10. Có quá nhiều tổ chức đã không chuyển trọng tâm của OWASP API Top 10 thành chiến lược bảo mật API".
Vấn đề với hàng tồn kho và API "zombie"
Theo nghiên cứu, các tổ chức cũng đang gặp vấn đề trong việc tạo ra kho API. Báo cáo cho biết tài liệu API thường bị thiếu, không đầy đủ hoặc không chính xác và nhận thấy rằng 83% người được khảo sát thiếu tin tưởng vào kho API của họ. Trong số các khách hàng của Salt Security, người ta thường tìm thấy số lượng API gấp 8 lần số lượng API mà doanh nghiệp có trong hồ sơ.
Postman và Swagger là các cơ chế phổ biến nhất được sử dụng để kiểm kê các API, với 42% người được khảo sát nói rằng họ sử dụng Postman trong khi 41% sử dụng Swagger. 28% khác cho biết họ đã sử dụng OpenAPI Generator.
Do những lo ngại được bày tỏ về hàng tồn kho API, có một mối lo ngại tương ứng về các API lỗi thời và "zombie". Gần 60% cho rằng đây là rủi ro liên quan đến bảo mật API mà họ lo ngại, bên cạnh lo ngại về việc chiếm đoạt tài khoản hoặc sử dụng sai mục đích.
Hơn 60% người được khảo sát cho biết một trong những công cụ có giá trị nhất mà họ tìm kiếm là khả năng xác định API nào tiết lộ thông tin nhận dạng cá nhân và phổ biến thứ hai là khả năng ngăn chặn các cuộc tấn công hoàn toàn.
Gần 85% chuyên gia trả lời khảo sát cho biết họ thiếu tự tin về việc biết API nào tiết lộ thông tin nhận dạng cá nhân (PII).
Gần 1/4 các tổ chức thừa nhận họ không có cách nào để biết API nào tiết lộ PII, kết quả trực tiếp của việc kiểm kê API không đầy đủ và tài liệu không chính xác. Phần lớn các tổ chức phụ thuộc vào tài liệu do nhà phát triển tạo hoặc các cổng API để hiểu mức độ hiển thị PII và rõ ràng là thiếu tự tin rằng những cách tiếp cận này là hoàn chỉnh và cung cấp đủ thông tin chi tiết".
"Hầu hết các tổ chức có cổng API đều có nhiều nền tảng, thường là kết hợp các nhà cung cấp và không có quản lý API hợp nhất, gây khó khăn cho việc có được cái nhìn rõ ràng về tất cả các API trong môi trường sản xuất".
Việc thăm dò khách hàng của Salt Security cho thấy, 91% API tiết lộ một số loại dữ liệu nhạy cảm, từ thông tin tài khoản cơ bản đến thông tin nhận dạng cá nhân. Trong cuộc khảo sát, 22% cho biết họ không biết API nào tiết lộ thông tin nhận dạng cá nhân và 57% cho biết họ dựa vào tài liệu đến từ các nhà phát triển.
Khi được hỏi, ai chịu trách nhiệm giám sát tính bảo mật của các API, 25% cho biết đó là công việc của các nhà phát triển tại doanh nghiệp, 21% cho biết nó nằm dưới sự kiểm soát của nhóm DevSecOps và 14% nói rằng họ có một nhóm API.
Eliyahu (Giám đốc điều hành và đồng người sáng lập Salt Security) nói thêm: "Chúng tôi đã biên soạn Báo cáo trạng thái bảo mật API đầu tiên của ngành để hiểu rõ hơn về trải nghiệm doanh nghiệp đối với API ngày nay. Nghiên cứu làm rõ rằng các phương pháp tiếp cận hiện tại của các công ty để bảo mật API có những lỗ hổng khiến họ gặp rủi ro. Nó cũng nhấn mạnh việc các tổ chức cần có cách tiếp cận mới đối với bảo mật API nếu họ muốn tiếp tục đổi mới một cách an toàn và duy trì tính cạnh tranh".