Kinh tế học của các cuộc tấn công API và cách nhà phát triển có thể ngăn chặn chúng
- 80% lưu lượng truy cập internet đi qua API, khiến chúng trở thành mục tiêu hấp dẫn cho tin tặc. Bộ công cụ khai thác có thể thuê với giá 1.400 USD/tháng.
- Các tổ chức tập trung bảo mật cơ sở hạ tầng và ứng dụng web người dùng cuối, bỏ qua các API dễ bị tấn công. Cần chuyển sang tư thế bảo mật tập trung vào API.
- Tốc độ phát triển nhanh và chuyển sang kiến trúc microservice làm gia tăng nhu cầu bảo mật API. Cần liên tục khám phá, kiểm kê API và cập nhật danh sách.
- Các API không được quản lý, thiếu xác thực, tiêu thụ API bên thứ ba không an toàn là những rủi ro lớn. Đừng dùng số an sinh xã hội, số điện thoại, email làm định danh khách hàng.
- Hai kiểu tấn công API chính: BOPLA (truy cập thuộc tính đối tượng trái phép), BOLA (truy cập cấp đối tượng bị hỏng). Có thể khắc phục dễ dàng nếu phát hiện sớm.
- Giải pháp: khám phá tất cả API, đưa vào sổ đăng ký, áp dụng chính sách bảo mật, tích hợp công cụ kiểm kê và tuân thủ API vào pipeline CI/CD, dùng giải pháp phát hiện và chặn tấn công API theo thời gian thực.
📌 Tin tặc đang tập trung khai thác API để đánh cắp dữ liệu sinh lời. 80% lưu lượng internet đi qua API, với bộ công cụ khai thác giá rẻ chỉ 1.400 USD/tháng. Các tổ chức cần chuyển sang tư thế bảo mật tập trung vào API, liên tục rà soát, đăng ký API, áp dụng chính sách và giải pháp an ninh để ngăn chặn 2 kiểu tấn công chính là BOPLA và BOLA, tránh để lộ thông tin nhạy cảm của khách hàng.
https://thenewstack.io/the-economics-of-api-attacks-and-how-developers-can-stop-them/
Thảo luận
Follow Us
Tin phổ biến
