Cần có chiến lược bảo mật API toàn diện trong hệ sinh thái kỹ thuật số

Trong bối cảnh nước ta đang thúc đẩy chuyển đổi số mạnh mẽ, Giao diện lập trình ứng dụng (Application Programming Interface -API) ngày càng được sử dụng rộng rãi, bao gồm các ứng dụng di động, dịch vụ đám mây và thiết bị IoT. Khi việc sử dụng API tăng lên, tổ chức phải đối mặt với nhiều mối đe dọa bảo mật tiềm ẩn liên quan đến API như tấn công chèn mã (Injection), vượt qua cơ chế xác thực và kiểm soát truy cập (Broken Access Control and Authentication) cũng như thực thi mã hóa không đầy đủ. Bài viết sẽ thông tin tới độc giả tầm quan trọng của bảo mật API, các loại tấn công vào API và một số giải pháp giúp bảo mật API toàn diện.

TẦM QUAN TRỌNG CỦA BẢO MẬT API

API hoạt động như giao thức trao đổi thông tin giữa các ứng dụng và hệ thống khác nhau, cho phép chúng giao tiếp và chia sẻ thông tin một cách dễ dàng. Bảo mật API đề cập đến các phương pháp, biện pháp được thực hiện để bảo vệ API khỏi truy cập trái phép, vi phạm dữ liệu và các mối đe dọa bảo mật khác. Việc nắm bắt được các rủi ro và sự phức tạp của bảo mật API là rất cần thiết trong việc đảm bảo tính toàn vẹn, bảo mật và tính sẵn sàng của dữ liệu và dịch vụ được cung cấp thông qua API. Theo thống kê, có đến 83% lưu lượng truy cập web thuộc về API, 72% doanh nghiệp đối mặt với việc chậm trễ phát hành các ứng dụng và dịch vụ nâng cấp bởi vì các vấn đề liên quan phân quyền với các API và 44% doanh nghiệp đã gặp phải các sự cố về tính riêng tư dữ liệu và rò rỉ dữ liệu nhạy cảm liên quan đến các API triển khai nội bộ hoặc công khai [1].

Công ty tư vấn và nghiên cứu công nghệ Gartner (Mỹ) xác nhận bảo mật API là mối quan tâm hàng đầu của các doanh nghiệp hiện nay. Theo dự đoán của Gartner, hơn 30,9 tỷ thiết bị IoT dự kiến sẽ được sử dụng trên toàn thế giới vào năm 2025 và con số này tiếp tục tăng lên hàng năm. Sự gia tăng các thiết bị IoT kéo theo các nguy cơ về bảo mật API. Khi ngày càng có nhiều doanh nghiệp triển khai API, nguy cơ bị tấn công API cũng gia tăng theo. Trên thực tế, số lượng API được sử dụng bởi các doanh nghiệp đang tăng nhanh chóng, gần một nửa số doanh nghiệp có từ 50-500 API được triển khai nội bộ hoặc công khai, thậm chí một số doanh nghiệp còn có hơn 1.000 API đang hoạt động. Các doanh nghiệp lớn càng dễ bị ảnh hưởng bởi các rủi ro bảo mật liên quan đến các API không được bảo vệ khi các doanh nghiệp đẩy nhanh quá trình chuyển đổi số. Nguyên nhân do nhiều API được kết nối trực tiếp với cơ sở dữ liệu phụ trợ, nơi dữ liệu nhạy cảm được lưu trữ. Do đó, tin tặc ngày càng nhắm mục tiêu vào các API như một phương thức để tấn công vào cơ sở hạ tầng nhằm đánh cắp thông tin nhạy cảm. Ngày nay, cứ 13 sự cố bảo mật mạng thì có 1 sự cố được cho là có liên quan tới việc API không an toàn.Thực tế đó đã đặt ra những thách thức trong việc bảo mật dữ liệu trong API. Hiện nay, các lỗ hổng tồn tại trong API đang ngày càng tăng lên như các lỗ hổng về xác thực, phân quyền hay việc vô tình để lộ dữ liệu nhạy cảm.

Theo báo cáo mới nhất của hãng bảo mật Imperva, API đóng vai trò trung tâm trong việc hiện đại hóa ứng dụng và kết nối liền mạch, chiếm hơn 71% lưu lượng truy cập web. Báo cáo cũng nêu bật những rủi ro tiềm ẩn như sử dụng các endpoint lỗi thời và tấn công cơ chế phân quyền mức đối tượng (Broken Object Level Authorization - BOLA) được OWASP công nhận là một trong 10 rủi ro bảo mật API hàng đầu của năm 2023 [2].

Bảo mật API rất quan trọng trong việc bảo vệ khỏi các mối đe dọa này và bao gồm việc triển khai các biện pháp bảo mật như xác thực, ủy quyền, mã hóa để đảm bảo rằng dữ liệu nhạy cảm được truyền qua API chỉ được nhận và giải mã bởi ứng dụng, người dùng, máy chủ có quyền thích hợp. Bảo mật API đảm bảo tính toàn vẹn của nội dung thông điệp bằng cách đảm bảo dữ liệu không bị thay đổi sau khi truyền.

NHỮNG LOẠI TẤN CÔNG VÀO CÁC API

Bảo mật API liên quan đến ba lĩnh vực bảo mật rộng lớn là mạng, ứng dụng và dữ liệu, chính vì vậy đây là một thách thức không nhỏ đối với các tổ chức, doanh nghiệp lớn. Tin tặc có thể tấn công API thông qua nhiều phương pháp khác nhau như:

- Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service - DDoS): Tin tặc gửi một lượng lớn yêu cầu truy cập đến một ứng dụng web từ nhiều nguồn khác nhau cùng một lúc, với mục đích làm cạn kiệt tài nguyên hệ thống và làm cho việc truy cập trang web không khả dụng và có khả năng dẫn đến sự cố khi cuộc tấn công nhằm vào hệ thống phụ trợ cung cấp dữ liệu cho API.

- Tấn công xen giữa (Man in the Middle - MITM): Kẻ tấn công có thể nghe trộm, thậm chí chặn và kiểm soát toàn bộ quá trình giao tiếp giữa hai bên để người dùng tin rằng họ vẫn đang trực tiếp liên lạc với nhau, từ đó đánh cắp hoặc sửa đổi dữ liệu riêng tư.

- Khai thác token hoặc khóa truy cập API kém: Mã token và khóa truy cập API là thông tin xác thực hợp lệ cấp quyền truy cập cho người dùng. Nếu bị xâm phạm, chúng có thể bị các tin tặc sử dụng trái phép để truy cập vào các hệ thống riêng tư.

- Khai thác thông tin đăng nhập không được mã hóa: Tên người dùng và mật khẩu thường được khai báo dạng rõ trong các tệp cấu hình không được mã hóa khiến chúng trở nên dễ bị đánh cắp hơn. Lợi dụng điều này, tin tặc cũng tận dụng để khai thác sâu hơn.

Ngoài ra, những kẻ tấn công có thể thực hiện nhiều cuộc tấn công API khác như tấn công vét cạn (Brute force), chèn mã (Injection), XSS,...

Bản chất của các API cũng giúp cho tin tặc thực hiện các cuộc tấn công được đơn giản hơn và gây ra hậu quả nặng nề hơn. Không giống như Cyber Kill Chain (một chuỗi các bước trong các giai đoạn của một cuộc tấn công mạng) thường bao gồm 7 giai đoạn mà kẻ tấn công phải lần lượt trải qua để khai thác và xâm phạm hệ thống, các API rất dễ khai thác và rút ngắn giai đoạn từ 7 xuống còn 3 giai đoạn là thăm dò (Reconaissance), vũ khí hóa (Weaponized) và khai thác (Exploit). Không cần cài đặt phần mềm độc hại, giành quyền kiểm soát hệ thống hoặc hoàn thành bất kỳ hoạt động nào để lạm dụng hệ thống của doanh nghiệp, với API, kẻ tấn công có thể truy cập vào một lượng lớn thông tin nhạy cảm bằng cách thực hiện các yêu cầu đơn giản.

GIẢI PHÁP BẢO MẬT API TOÀN DIỆN

Bối cảnh bảo mật API đòi hỏi một cách tiếp cận chiến lược và toàn diện. Các giải pháp bảo mật API chuyên dụng cung cấp khả năng phòng thủ có mục tiêu nhưng chúng sẽ mang lại khả năng bảo vệ tốt hơn nếu được tích hợp vào khung bảo mật rộng hơn để đảm bảo khả năng bảo vệ tối đa.

Các nhà cung cấp bảo mật API chuyên dụng cung cấp các giải pháp có mục tiêu được thiết kế để xác định và triển khai các biện pháp bảo mật cụ thể chống lại các cuộc tấn công API. Mặc dù các giải pháp này có thể hiệu quả nhưng việc chỉ dựa vào các biện pháp phòng vệ dành riêng cho API có thể khiến các tổ chức dễ bị tổn thương trước các mối đe dọa rộng hơn.

Một cách tiếp cận linh hoạt hơn bao gồm việc tích hợp bảo mật API với một bộ giải pháp bảo mật ứng dụng toàn diện như: tường lửa ứng dụng web (WAF), bảo vệ bot nâng cao và bảo vệ DDoS. Bằng cách áp dụng chiến lược tích hợp, các tổ chức tăng cường khả năng xác định và ngăn chặn các cuộc tấn công đa chiều, phức tạp, bao gồm các cuộc tấn công trinh sát và tấn công tiêm nhiễm. Một khía cạnh quan trọng của phương pháp này là làm gián đoạn tiến trình của kẻ tấn công ở giai đoạn trinh sát, ngăn chúng khai thác API và xâm phạm dữ liệu nhạy cảm.

Điểm mấu chốt là tầm quan trọng của việc áp dụng chiến lược bảo mật ứng dụng toàn diện. Việc kết hợp các biện pháp dành riêng cho bảo mật API với khả năng phòng thủ rộng hơn sẽ tạo ra một lá chắn mạnh mẽ hơn trước các mối đe dọa an ninh mạng ngày càng gia tăng.

Triển khai API Gateway

API Gateway trao quyền cho doanh nghiệp triển khai API nhanh chóng và hoạt động như một điểm kiểm soát tập trung để định tuyến các lệnh gọi API một cách hiệu quả. Hơn nữa, chúng còn cung cấp nền tảng để triển khai các trường hợp sử dụng logic nghiệp vụ, chẳng hạn như đo lường mức tiêu thụ API cho mục đích quản lý hoặc kiếm tiền. Tuy nhiên, mặc dù API Gateway không thể thiếu để quản lý và tối ưu hóa lưu lượng API nhưng chúng thiếu khả năng chủ động kiểm tra tải trọng để phát hiện những điểm bất thường có thể chỉ ra một cuộc tấn công.

Các tổ chức sử dụng API Gateway được hưởng lợi từ sự bảo vệ bổ sung thông qua giải pháp bảo vệ API & ứng dụng Web (WAAP). Điều này đảm bảo toàn bộ các điểm cuối API được bảo mật trước các mối đe dọa tiềm ẩn. Việc kết hợp giải pháp API Gateway và WAAP quản lý lưu lượng API một cách hiệu quả giúp chủ động xác định và ngăn chặn các lỗ hổng bảo mật tại lớp API.

Tường lửa ứng dụng web (WAF)

Các mối đe dọa API ngày càng tinh vi, thường vượt qua các lỗ hổng ứng dụng truyền thống. Kết quả là, việc chỉ dựa vào tường lửa ứng dụng web thông thường (WAF) không còn đủ để giải quyết tính chất phức tạp của các lỗ hổng API. Mặc dù WAF tốt kết hợp với tính năng bảo vệ từ chối dịch vụ phân tán (DDoS) sẽ phát hiện và chặn các cuộc tấn công chữ ký đã biết như tấn công SQL, thực thi mã từ xa và tấn công DDoS nhắm mục tiêu vào lớp ứng dụng, các cuộc tấn công web hiện đại đang tìm cách vượt qua WAF truyền thống. Ví dụ: WAF cơ bản không thể phân biệt giữa các lệnh gọi API độc hại và lưu lượng API hợp pháp, khiến các biện pháp bảo vệ không hiệu quả khi cần giảm thiểu các lỗ hổng logic API hoặc các cuộc tấn công tự động nhắm vào logic kinh doanh của API. Một giải pháp hiệu quả hơn liên quan đến việc tích hợp các nhóm công nghệ bảo mật, bao gồm bảo mật API, WAF, bảo vệ bot và bảo vệ DDoS.

Bảo mật API toàn diện

Mục đích của phương pháp này là tạo ra một chiến lược toàn diện để phát hiện và khắc phục các mối đe dọa nhắm vào các API công khai. Bản chất nhiều rủi ro của API đòi hỏi phải có chiến lược phòng thủ toàn diện. Bảo mật API chỉ tập trung vào các mối đe dọa duy nhất liên quan đến API, trong khi WAF cung cấp lớp bảo vệ rộng hơn chống lại các cuộc tấn công ứng dụng web khác nhau có thể dẫn đến cuộc tấn công API. Bảo vệ Bot trở nên thiết yếu trong việc bảo vệ khỏi các cuộc tấn công tự động và bảo vệ chống DDoS đảm bảo tính khả dụng của API trong các tình huống tấn công hàng loạt. Bằng cách tích hợp các biện pháp bảo mật này, các tổ chức có thể thiết lập một thế trận bảo mật linh hoạt giúp giảm thiểu một cách hiệu quả các mối đe dọa đang gia tăng mà API phải đối mặt. Cách tiếp cận toàn diện này không chỉ bảo vệ, chống lại các lỗ hổng đã biết mà còn cung cấp cơ chế phòng thủ chủ động chống lại các mối đe dọa mới nổi và xuất hiện trong tương lai.