Bagaimana AI akan meningkatkan keselamatan API

API telah menjadi permata utama inisiatif transformasi digital organisasi, memberi pekerja, rakan kongsi, pelanggan, dan pihak berkepentingan lain untuk mengakses aplikasi, data, dan fungsi perniagaan di seluruh ekosistem digital mereka. Oleh itu, tidak hairanlah bahawa penggodam telah meningkatkan gelombang serangan terhadap aset perusahaan kritikal ini.

Malangnya, nampaknya masalah hanya akan bertambah buruk. Gartner telah meramalkan bahawa, "Pada tahun 2022, penyalahgunaan API akan menjadi vektor serangan yang paling sering mengakibatkan pelanggaran data untuk aplikasi web perusahaan."

Banyak syarikat telah bertindak balas dengan menerapkan penyelesaian pengurusan API yang menyediakan mekanisme, seperti pengesahan, pengesahan, dan pembatasan. Ini adalah keupayaan yang mesti dimiliki untuk mengawal siapa yang mengakses API di seluruh ekosistem API — dan seberapa kerap. Namun, dalam membangun strategi API dalaman dan luaran mereka, organisasi juga perlu menangani pertumbuhan serangan yang lebih canggih terhadap API dengan menerapkan keamanan yang dinamis, kecerdasan buatan (AI).

Artikel ini mengkaji alat pengurusan dan keselamatan API yang harus disatukan oleh organisasi untuk memastikan keselamatan, integriti, dan ketersediaan di seluruh ekosistem API mereka.

Langkah-langkah keselamatan berdasarkan peraturan dan dasar

Pemeriksaan keselamatan berdasarkan peraturan dan dasar, yang dapat dilakukan secara statik atau dinamis, adalah bahagian wajib dari mana-mana penyelesaian pengurusan API. Gerbang API berfungsi sebagai titik masuk utama untuk akses API dan oleh itu biasanya menangani penguatkuasaan dasar dengan memeriksa permintaan masuk terhadap dasar dan peraturan yang berkaitan dengan keselamatan, had kadar, pendikit, dan lain-lain. Mari lihat lebih dekat beberapa pemeriksaan keselamatan statik dan dinamik untuk melihat tambahan nilai yang mereka bawa.

Pemeriksaan keselamatan statik

Pemeriksaan keselamatan statik tidak bergantung pada volume permintaan atau data permintaan sebelumnya, karena biasanya memvalidasi data pesan terhadap sekumpulan peraturan atau kebijakan yang telah ditentukan. Imbasan keselamatan statik yang berbeza dilakukan di gateway untuk menyekat suntikan SQL, serangan parsing padu, serangan pengembangan entiti, dan keracunan skema, antara lain.

Sementara itu, pemeriksaan dasar statik dapat diterapkan untuk pengimbasan muatan, pemeriksaan header, dan pola akses, antara lain. Contohnya, suntikan SQL adalah jenis serangan yang biasa dilakukan dengan menggunakan muatan. Sekiranya pengguna mengirimkan muatan JSON (Notasi Objek JavaScript), gerbang API dapat mengesahkan permintaan khusus ini terhadap skema JSON yang telah ditentukan. Pintu gerbang juga dapat membatasi jumlah elemen atau atribut lain dalam konten yang diperlukan untuk melindungi terhadap data atau pola teks yang berbahaya dalam pesan.

Pemeriksaan keselamatan dinamik

Pemeriksaan keselamatan dinamik, berbeza dengan imbasan keselamatan statik, selalu memeriksa sesuatu yang berbeza dari masa ke masa. Biasanya ini melibatkan pengesahan data permintaan dengan keputusan yang dibuat menggunakan data yang ada. Contoh pemeriksaan dinamik termasuk pengesahan token akses, pengesanan anomali, dan pendikit. Pemeriksaan dinamik ini sangat bergantung pada jumlah data yang dihantar ke gateway. Kadang-kadang pemeriksaan dinamik ini berlaku di luar gerbang API, dan kemudian keputusan disampaikan ke gerbang. Mari kita lihat beberapa contoh.

Throttling dan pembatasan kadar adalah penting untuk mengurangkan kesan serangan, kerana setiap kali penyerang mendapat akses ke API, perkara pertama yang mereka lakukan adalah membaca data sebanyak mungkin. Permintaan API yang mendadak - iaitu, membatasi akses ke data - mengharuskan kami menyimpan jumlah permintaan masuk dalam jangka waktu tertentu. Sekiranya jumlah permintaan melebihi jumlah yang diperuntukkan pada masa itu, pintu masuk dapat menyekat panggilan API. Dengan pembatasan kadar, kita dapat membatasi akses serentak yang dibenarkan untuk perkhidmatan tertentu.

Pengesahan

Pengesahan membantu gateway API untuk mengenal pasti setiap pengguna yang menggunakan API secara unik. Penyelesaian gerbang API yang tersedia secara amnya menyokong pengesahan asas, keselamatan OAuth 2.0, JWT (JSON Web Token), dan keselamatan berdasarkan sijil. Beberapa pintu gerbang juga menyediakan lapisan pengesahan di atasnya untuk pengesahan kebenaran tambahan yang lebih baik, yang biasanya berdasarkan bahasa definisi dasar gaya XACML (eXtensible Access Control Markup Language). Ini penting apabila API mengandungi pelbagai sumber yang memerlukan tahap kawalan akses yang berbeza untuk setiap sumber.

Batasan keselamatan API tradisional

Pendekatan berasaskan dasar mengenai pengesahan, pengesahan, pembatasan kadar, dan pendikit adalah alat yang berkesan, tetapi mereka masih meninggalkan celah di mana penggodam dapat memanfaatkan API. Terutama, gerbang API menghadap banyak perkhidmatan web, dan API yang mereka kelola sering dimuat dengan jumlah sesi yang tinggi. Sekalipun kami menganalisis semua sesi tersebut menggunakan kebijakan dan proses, akan sulit bagi gateway untuk memeriksa setiap permintaan tanpa kekuatan perhitungan tambahan.

Selain itu, setiap API mempunyai corak aksesnya sendiri. Jadi, corak akses yang sah untuk satu API dapat menunjukkan aktiviti jahat untuk API yang berbeza. Contohnya, apabila seseorang membeli barang melalui aplikasi membeli-belah dalam talian, mereka akan melakukan banyak carian sebelum melakukan pembelian. Oleh itu, satu pengguna yang menghantar 10 hingga 20 permintaan ke API carian dalam jangka masa yang singkat boleh menjadi corak akses yang sah untuk API carian. Namun, jika pengguna yang sama mengirim banyak permintaan ke API pembelian, corak akses dapat menunjukkan kegiatan berbahaya, seperti penggodam yang berusaha menarik sebanyak mungkin menggunakan kad kredit yang dicuri. Oleh itu, setiap corak akses API perlu dianalisis secara berasingan untuk menentukan tindak balas yang betul.

Faktor lain adalah bahawa sejumlah besar serangan berlaku secara dalaman. Di sini, pengguna dengan kelayakan yang sah dan akses ke sistem menggunakan kemampuan mereka untuk menyerang sistem tersebut. Keupayaan pengesahan dan kebenaran berdasarkan dasar tidak dirancang untuk mencegah serangan semacam ini. 

Walaupun kita dapat menerapkan lebih banyak peraturan dan kebijakan ke gerbang API untuk melindungi dari serangan yang dijelaskan di sini, overhead tambahan pada gerbang API tidak dapat diterima. Perusahaan tidak mampu membuat pengguna kecewa dengan meminta mereka menanggung kelewatan pemprosesan gerbang API mereka. Sebaliknya, gateway perlu memproses permintaan yang sah tanpa menyekat atau memperlahankan panggilan API pengguna.

Kes untuk menambahkan lapisan keselamatan AI

Untuk mengisi celah yang ditinggalkan oleh perlindungan API berasaskan dasar, pasukan keselamatan moden memerlukan keselamatan API berasaskan kecerdasan buatan yang dapat mengesan dan bertindak balas terhadap serangan dinamik dan kelemahan unik setiap API. Dengan menerapkan model AI untuk terus memeriksa dan melaporkan semua aktivitas API, perusahaan dapat secara automatik menemukan aktiviti dan ancaman API yang tidak normal di seluruh infrastruktur API yang dilewatkan oleh kaedah tradisional.

Walaupun dalam keadaan di mana langkah-langkah keselamatan standard dapat mengesan anomali dan risiko, diperlukan beberapa bulan untuk membuat penemuan tersebut. Sebaliknya, dengan menggunakan model pra-dibangun berdasarkan pola akses pengguna, lapisan keselamatan yang didorong oleh AI memungkinkan untuk mengesan beberapa serangan dalam waktu dekat.

Yang penting, enjin AI biasanya berjalan di luar gerbang API dan menyampaikan keputusannya kepada mereka. Kerana gerbang API tidak perlu mengeluarkan sumber daya untuk memproses permintaan ini, penambahan keamanan AI biasanya tidak mempengaruhi prestasi runtime.

Mengintegrasikan keselamatan API berasaskan dasar dan AI

Semasa menambahkan keamanan bertenaga AI ke implementasi pengurusan API, akan ada titik penguatkuasaan keselamatan dan titik keputusan. Biasanya, unit ini bebas kerana daya pengiraan tinggi yang diperlukan, tetapi kependaman tidak boleh dibiarkan mempengaruhi kecekapannya.

Gerbang API memintas permintaan API dan menerapkan pelbagai kebijakan. Terhubung dengannya adalah titik penguatkuasaan keamanan, yang menjelaskan atribut setiap permintaan (panggilan API) ke titik keputusan, meminta keputusan keamanan, dan kemudian menerapkan keputusan itu di pintu gerbang. Titik keputusan, yang dikuasakan oleh AI, secara berterusan mempelajari tingkah laku setiap corak akses API, mengesan tingkah laku yang tidak normal, dan menandakan atribut permintaan yang berbeza.

Harus ada pilihan untuk menambahkan kebijakan ke titik keputusan sesuai kebutuhan dan menggunakan kebijakan ini — yang mungkin berbeda dari API ke API — selama masa pembelajaran. Apa-apa dasar harus ditentukan oleh pasukan keselamatan apabila potensi kelemahan setiap API yang mereka rancangkan akan difahami secara menyeluruh. Namun, walaupun tanpa sokongan dari dasar luaran, titik keputusan yang bertenaga AI dan teknologi titik penguatkuasaan akhirnya akan belajar dan mencegah beberapa serangan kompleks yang tidak dapat kita mengesan dengan kebijakan.

Kelebihan lain mempunyai dua komponen penguatkuasaan keselamatan dan komponen keputusan yang berasingan adalah kemampuan untuk berintegrasi dengan penyelesaian pengurusan API yang ada. Peningkatan antara muka pengguna yang sederhana dan peluasan yang disesuaikan dapat menyatukan titik penguatkuasaan keamanan dengan penerbit dan gerbang API. Dari UI, penerbit API dapat memilih apakah akan mengaktifkan keselamatan AI untuk API yang diterbitkan, bersama dengan kebijakan khusus yang diperlukan. Titik penguatkuasaan keamanan yang diperpanjang akan menerbitkan atribut permintaan ke titik keputusan dan membatasi akses ke API sesuai dengan respons titik keputusan.

Namun, menerbitkan acara ke titik keputusan dan menyekat akses berdasarkan responsnya akan memakan masa dan sangat bergantung pada rangkaian. Oleh itu, ia dilaksanakan sebaik mungkin secara serentak dengan bantuan mekanisme caching. Ini sedikit sebanyak akan mempengaruhi ketepatan, tetapi ketika mempertimbangkan kecekapan gerbang, menambahkan lapisan keselamatan AI sedikit sebanyak akan menyumbang pada latensi keseluruhan.

Cabaran lapisan keselamatan yang didorong oleh AI

Sudah tentu, faedah tidak datang tanpa kos. Walaupun lapisan keselamatan yang didorong oleh AI menawarkan tahap perlindungan API tambahan, ia memberikan beberapa cabaran yang perlu ditangani oleh pasukan keselamatan.

  • Beban tambahan . Lapisan keselamatan AI tambahan menambahkan sedikit overhead pada aliran mesej. Jadi, penyelesaian mediasi harus cukup pintar untuk menangani pengumpulan dan penerbitan maklumat di luar aliran mediasi utama.
  • Positif palsu . Jumlah positif palsu yang tinggi akan memerlukan kajian tambahan oleh profesional keselamatan. Namun, dengan beberapa algoritma AI yang maju, kita dapat mengurangkan jumlah positif palsu yang dicetuskan.
  • Kekurangan kepercayaan . Orang merasa tidak selesa apabila mereka tidak memahami bagaimana keputusan dibuat. Papan pemuka dan amaran dapat membantu pengguna untuk memvisualisasikan faktor-faktor di sebalik keputusan. Sebagai contoh, jika amaran dengan jelas menyatakan bahawa pengguna disekat untuk mengakses sistem pada kadar tidak normal sebanyak 1,000 kali ganda dalam satu minit, orang dapat memahami dan mempercayai keputusan sistem.
  • Kelemahan data . Sebilangan besar penyelesaian pembelajaran AI dan mesin bergantung pada jumlah data yang banyak, yang sering sensitif dan peribadi. Akibatnya, penyelesaian ini boleh menjadi rentan terhadap pelanggaran data dan pencurian identiti. Mematuhi GDPR Kesatuan Eropah (Peraturan Perlindungan Data Umum) membantu mengurangkan risiko ini tetapi tidak menghapuskannya sepenuhnya.
  • Batasan data berlabel . Sistem AI yang paling kuat dilatih melalui pembelajaran yang diselia, yang memerlukan data berlabel yang disusun agar dapat difahami oleh mesin. Tetapi data berlabel mempunyai had, dan pembuatan automatik algoritma yang semakin sukar di masa depan hanya akan memperburuk masalah.
  • Data yang salah . Keberkesanan sistem AI bergantung pada data yang dilatihnya. Selalunya, data buruk dikaitkan dengan bias etnik, komunal, jantina, atau perkauman, yang boleh mempengaruhi keputusan penting mengenai pengguna individu.

Memandangkan peranan penting API dalam perusahaan hari ini, mereka semakin menjadi sasaran penggodam dan pengguna jahat. Mekanisme berasaskan dasar, seperti pengesahan, otorisasi, pengimbasan muatan, pengesahan skema, pembatasan, dan pembatasan kadar, adalah syarat asas untuk menerapkan strategi keselamatan API yang berjaya. Namun, hanya dengan menambahkan model AI untuk terus memeriksa dan melaporkan semua aktiviti API, perusahaan akan dilindungi daripada serangan keselamatan paling canggih yang muncul hari ini.

Sanjeewa Malalgoda adalah arkitek perisian dan pengarah kejuruteraan bersekutu di WSO2, di mana dia memimpin pengembangan WSO2 API Manager. Lakshitha Gunasekara adalah jurutera perisian dalam pasukan WSO2 API Manager. 

-

Forum Teknologi Baru menyediakan tempat untuk meneroka dan membincangkan teknologi perusahaan yang baru muncul dalam kedalaman dan luas yang belum pernah terjadi sebelumnya. Pemilihannya bersifat subjektif, berdasarkan pilihan teknologi yang kami anggap penting dan paling menarik bagi pembaca. tidak menerima jaminan pemasaran untuk penerbitan dan berhak untuk mengedit semua kandungan yang disumbangkan. Hantarkan semua pertanyaan ke  [email protected] .