15 Pertanyaan yang Perlu Diajukan Tentang Postur Keamanan API Anda

Saya akan membagikan sebuah rahasia kepada Anda hari ini. Dari sekitar enam jabatan Chief Information Security Officer (CISO) yang saya jalani selama 20 tahun terakhir, hanya satu yang merekrut saya karena mengalami pelanggaran keamanan. Hanya satu.

Lima lainnya karena pengunduran diri atau karena pengganti sebelumnya digantikan akibat hilangnya kepercayaan dari para pemangku kepentingan utama. Separuh dari mereka digantikan bukan karena pelanggaran keamanan, melainkan karena hilangnya kepercayaan.

Mengapa CISO Perlu Memahami Lingkungan API Mereka

Dalam dunia keamanan API, kebutuhan bagi seorang CISO untuk memahami eksposur API-nya dapat diringkas dalam beberapa pernyataan penting:

1. Untuk membuat model ancaman terhadap suatu lingkungan, Anda perlu mengetahui empat hal: aset, aktor, antarmuka, dan aksi. Dengan kata lain, “Siapa melakukan apa, terhadap apa, lewat apa?”
2. Huruf “I” dalam API berarti interface atau antarmuka. Application Programming Interface digunakan secara luas di berbagai platform, bahasa pemrograman, dan kerangka kerja. Hampir semua pengembangan perangkat lunak modern berfokus pada API. Anda pasti memiliki API dalam lingkungan Anda.
3. Jika Anda sebagai CISO tidak memiliki inventaris atas antarmuka yang mengekspos dan melayani data sensitif Anda—baik secara internal maupun untuk aplikasi web dan seluler—maka Anda memiliki model ancaman yang tidak lengkap dan titik-titik buta di mana layanan dan data terekspos.
4. Model ancaman yang tidak lengkap berarti tidak adanya pengawasan keamanan yang menyeluruh dan tidak adanya pembuktian kepedulian yang memadai—dua aspek penting yang diawasi oleh auditor dan regulator. Tanggung jawab mereka adalah memastikan bahwa aset, aktor, antarmuka, dan aksi dalam suatu lingkungan dipahami dan dikelola.

Mengevaluasi Eksposur Keamanan API Anda

Di F5, kami ingin pelanggan kami menjadi orang paling cerdas di ruangan. Karena itu, kami menyusun daftar singkat pertanyaan yang dapat Anda gunakan untuk menilai kondisi ekosistem API Anda saat ini. Dengan menjawab pertanyaan-pertanyaan ini sekarang, Anda akan siap jika sewaktu-waktu ditanya dalam audit eksternal atau pemeriksaan lapangan.

Dengan menunjukkan bahwa Anda memahami dan terus mengembangkan postur keamanan API Anda, Anda akan mempertahankan kepercayaan yang telah Anda bangun dengan susah payah.

Saya pribadi telah membagikan pertanyaan-pertanyaan ini kepada regulator dan pemeriksa dari berbagai lembaga. Kini, ketika Komisi Komunikasi Federal AS (FCC) mulai mengeluarkan denda dan perjanjian hukum khusus untuk masalah API, dan versi terbaru dari Payment Card Industry Data Security Standard (PCI DSS) 4.0+ secara eksplisit mewajibkan kepatuhan API dalam pengembangan, maka sekarang adalah waktu yang sangat tepat bagi para pembela keamanan untuk memiliki jawaban atas pertanyaan-pertanyaan ini.

Bahkan jika Anda belum bisa menjawab semuanya, mengetahui posisi Anda dan menunjukkan sikap proaktif adalah hal yang sangat penting bagi seorang CISO. Dengan menunjukkan bahwa Anda memahami dan mengembangkan postur keamanan API Anda, Anda akan mempertahankan kepercayaan yang telah Anda raih.

Berikut adalah daftarnya, dari yang paling mudah hingga yang paling sulit. Jika Anda merasa kesulitan menjawab sampai ke bagian bawah daftar ini, hubungi tim akun F5 Anda. Kami siap membantu.

15 Pertanyaan Tentang Keamanan API Anda:

1. Siapa yang bertanggung jawab atas keamanan API di perusahaan kita?
2. Apakah setiap API kita memiliki penanggung jawab yang ditetapkan?
3. Berapa banyak dari pendapatan kita yang berasal dari API?
4. Berapa jumlah API yang kita miliki?
5. Berapa banyak yang masih aktif digunakan, dan berapa yang sudah tidak aktif?
6. Berapa banyak yang rentan terhadap 10 masalah API paling umum (API Top 10)?
7. Apakah pengujian penetrasi kita sudah mencakup kerentanan API dan serangan terhadap logika bisnis di lingkungan produksi?
8. API mana yang mengirim atau menerima data yang tunduk pada regulasi hukum atau kepatuhan?
9. Apakah kita melihat adanya lalu lintas berbahaya? Di endpoint API yang mana?
10. Apa tingkat risiko keamanan API kita secara keseluruhan? Apakah membaik atau memburuk dibandingkan tahun lalu?
11. Apakah ada tim pengembang tertentu yang menghasilkan lebih banyak masalah API dibanding yang lain? Bagaimana mereka dilatih dan diberi umpan balik tentang masalah keamanan API?
12. Apakah ada proses verifikasi untuk perubahan kode dan API sebelum masuk ke produksi?
13. Siapa yang menerima notifikasi jika terjadi peristiwa keamanan terhadap API kita?
14. Berapa rata-rata waktu respons (dalam menit) saat terjadi serangan Broken Object Level Authorization (BOLA) terhadap salah satu API produksi kita?
15. Dan terakhir, kembali ke dasar—apakah orang-orang yang kita pikir bertanggung jawab atas keamanan API tahu dan setuju bahwa mereka memang bertanggung jawab?

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan f5 indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi f5.ilogoindonesia.id untuk informasi lebih lanjut!