แอปพลิเคชันสมัยใหม่ในปัจจุบันต่างอาศัยกลไกที่เรียกว่า API เพื่อบูรณาการทำงานระหว่างฟังก์ชันหรือแบ่งปันข้อมูลให้คู่ค้า ซึ่งการทำงานเช่นนี้ทำให้การบริหารจัดการแอปพลิเคชันมีความยืดหยุ่นและดูแลจัดการได้ง่าย อย่างไรก็ดีเทคโนโลยีย่อมมาพร้อมกับความเสี่ยง เช่นเดียวกับ API เพิ่มจำนวนขึ้นเรื่อยๆและมีการทำงานที่หลายรูปแบบ ดังนั้นการป้องกันจึงต้องอาศัยมาตรการหลายด้านประกอบกัน โดย Akamai API Security จะช่วยให้ท่านสามารถปกป้อง API ได้ในทุกช่วงเวลา
ในบทความนี้เราขอพาทุกท่านมาอัปเดตโซลูชันล่าสุดจาก Akamai ที่ก่อนหน้านี้มีการเข้าซื้อกิจการ noname security และได้รับการปรับปรุงให้เป็นความสามารถหนึ่งของโซลูชัน โดยทุกคนสามารถเริ่มต้นได้โดยไม่ต้องเป็นลูกค้าของ Akamai มาก่อน
ความท้าทายของการใช้งาน API ในโลกความเป็นจริง
การพัฒนาแอปพลิเคชันสมัยใหม่หรือ microservices ที่มีการแบ่งย่อยแอปพลิเคชันออกเป็นส่วนเล็กๆมักใช้ API เป็นแกนหลักของการทำงานร่วมกัน แต่นั่นเป็นเพียงแง่มุมหนึ่งเท่านั้น เพราะทุกวันนี้ API ก็ยังเป็นกลไกลหลักระหว่างการสื่อสารของ frontend กับแอปพลิเคชันของผู้ใช้ หรือการเปิดบริการให้พาร์ทเนอร์ทางธุรกิจเข้าถึงข้อมูล โดยมีแนวโน้มว่า API จะยังเติบโตไปในช่องทางอื่นในอนาคต เช่น IoT ด้วย นั่นจะทำให้ปริมาณของ API จะเพิ่มขึ้นอย่างมหาศาล นั่นคือความท้าทายหลักของ API
นอกจากนี้ API ยังมีความซับซ้อนจากวัตถุประสงค์ในการใช้งานด้วย เช่น การใช้งานระดับธุรกิจและธุรกิจ (B2B) หรือ การใช้งานของธุรกิจและลูกค้าทั่วไป (B2C) ตลอดจนระดับการเปิดเผยต่อการเข้าถึงแบบสาธารณะหรือออกแบบขึ้นเพื่อใช้งานภายในที่ต้องมีการป้องกันต่างกัน
องค์กรในปัจจุบันมักจะไม่สามารถตอบคำถามได้ว่ามี API ที่ใช้งานอยู่บ้างและที่ใช้งานอยู่มีส่วนใดที่เข้าถึงข้อมูลสำคัญ เพราะนอกจากเรื่องจำนวนของ API ที่ใช้จะมีมากมายแล้ว API ยังเกิดใหม่ขึ้นได้รายวัน แม้จะไม่ได้ใช้งานแล้วก็ยังไม่ถูกยกเลิก ตลอดจนการกำกับดูแลใช้งานในระดับสิทธิ์ที่เหมาะสม ที่สำคัญคือการวิเคราะห์ความมั่นคงปลอดภัยของ API ต้องยาวนานพอที่จะมองเห็นภัยคุกคามด้วย ไม่ใช่แค่การตัดสินใจจากการใช้งานเพียงครู่เดียว
การตรวจจับความเสี่ยงของ API ไม่ใช่ความสำคัญเดียว แต่ต้องครอบคลุมไปในระดับการพัฒนา(CI/CD) ซึ่งนั้นเป็นช่องว่างเสมอมาที่แม้จะพบรอยร้าวที่เกิดขึ้นในส่วนของ API แต่เมื่อการแก้ไขนั้นทำได้ยาก ก็อาจถูกละเลยและถูกมองเป็นคนละส่วนกับวงจรการพัฒนาซอฟต์แวร์
ความเสี่ยงของ API
การโจมตี API นั้นเป็นเรื่องที่เกิดได้หลายทาง อาจเพราะช่องโหว่ที่ตัว API เอง ดังเช่นที่ได้ถูกแนะนำผ่าน OWASP Top 10 แต่นั่นก็ยังไม่ครอบคลุมในเรื่องของ Bug นอกจากนี้ยังมีเรื่องของข้อผิดพลาดจากการตั้งค่าการใช้งาน API เช่น การให้สิทธิ์ที่มากเกินไป ขาดการปกป้องในการเข้ารหัสทราฟฟิคบน SSL/TLS แม้กระทั่ง Cloud Workload ที่เรียกใช้งานผ่าน API อย่าง Cloud Storage ที่เผยต่อสาธารณะ เป็นต้น
ในมุมแฮ็กเกอร์หากค้นหาเจอ API ที่ใช้งานผ่านอินเทอร์เน็ตก็อาจย้อนกลับการทำงานของ API ได้(reverse engineering) ซึ่งนั่นอาจนำไปสู่การโจมตีขั้นต่อไป เพื่อการเข้าถึงฟังก์ชันของบริการ แอปพลิเคชันขององค์กร หรือข้อมูลละเอียดอ่อนขององค์กร แต่แม้ว่า API ของท่านจะถูกบังคับพิสูจน์ตัวตน แต่นั่นไม่ได้เป็นการป้องกันอย่างเด็ดขาด เพราะยังมีเรื่องของการที่คนร้ายอาจขโมยบัญชีของผู้มีสิทธิ์เข้าถึง
จะเห็นได้ว่า API ได้กลายเป็นรากฐานสำคัญภายใต้บริการต่างๆ แต่ก็มีความซับซ้อนตามลักษณะการใช้งานและส่วนประกอบที่เกี่ยวข้อง ด้วยเหตุนี้เองการป้องกันจึงต้องมีบูรณาการหลายมาตรการเข้าด้วยกัน โดย Akamai ได้แนะนำ Best Practice สำหรับ API Security ไว้ดังนี้
- อ้างอิงการพัฒนา API ตามมาตรฐาน
- รวบรวมคู่มือการใช้ API และ ทดสอบ API ได้อัตโนมัติผ่านเส้นทางของ CI/CD
- บังคับใช้การพิสูจน์ตัวตนกับการใช้ API
- จำกัด Rate limit เพื่อป้องกันการโจมตี และมีมาตรการป้องกันร่วมกับส่วนของแอปพลิเคชัน CDN เพื่อป้องกันการโจมตีประเภท DDoS
- มองการทดสอบ API เป็นส่วนหนึ่งในการทดสอบแอปพลิเคชัน
- ค้นหา API ที่องค์กรใช้งานได้อย่างต่อเนื่อง
- ปิดช่องโหว่ของ API ได้ เช่นที่ระบุใน OWASP Top 10 API
- มีการตรวจสอบทั้ง Signature และ Behavior ในการติดตามการทำงานของ API
- เปิดการเข้าถึงแบบ On-demand สำหรับ API Inventory และเก็บข้อมูลการใช้ API เพื่อช่วยให้ทีมความมั่นคงปลอดภัย นักพัฒนาแอปพลิเคชัน และทีมดูแลบริการ นำไปประกอบการตัดสินใจได้
ความสามารถของ Akamai API Security
การทำงานของ Akamai API Security ประกอบด้วย 4 ขั้นตอนคือ Discovery, Testing, Detection และ Response โดยมีรายละเอียดดังนี้
1.) ค้นหาให้พบ
ปัญหาสำคัญขององค์กรก็คือการไม่รู้ว่ามี API เหล่านั้นอยู่ เพราะอาจขาดการรวมศูนย์การทำงาน หรือต่อให้มี API Gateway ที่มีฟังก์ชันด้านความมั่นคงปลอดภัย แต่หาก API ไม่ได้ถูกจัดได้ทั้งหมดก็ไม่สามารถปกป้อง API เหล่านั้นได้ ซึ่งในส่วนนี้ Akamai API Security มีกลไกในการค้นหา API ที่ใช้งานอยู่ในทุกจุด หรือแม้ถูกทอดทิ้งไว้ (Shadow API) ไม่ว่าจะเป็น API ที่เปิดสำหรับคู่ค้าหรือพาร์ทเนอร์(north-south) หรือ ที่เปิดเพื่อใช้งานภายในองค์กร(east-west)
นอกจากนี้ Akamai API Security ยังรองรับ API ได้หลายประเภท เพราะ API ไม่ได้มีแค่ RESTful เท่านั้นแม้จะได้รับความนิยมเป็นกระแสหลักก็ตาม แต่ยังมี API ที่ใช้กันมาตั้งแต่สมัยอดีตอย่าง SOAP หรือ API ที่ถูกปรับปรุงให้ทรงประสิทธิภาพมากยิ่งขึ้นอย่าง gRPC ที่ทำงานบน Http 2.0 โดย google และ GraphQL สำหรับงานฐานข้อมูลที่คิดค้นโดย facebook เป็นต้น
2.) ทดสอบเข้มข้นได้อย่างไร้รอยต่อ
Akamai API Security สามารถช่วยองค์กรค้นหาช่องโหว่ของ API ตาม OWASP Top 10 API ด้วยรูปแบบทดสอบมากกว่า 200 รูปแบบ รวมไปถึงการพิจารณาลักษณะการทำงานของ API ว่าสอดคล้องกับแนวทางของ Policy องค์กรหรือไม่ ที่สำคัญการทดสอบนี้ยังทำได้เป็นส่วนหนึ่งใน CI/CD Pipeline เพื่อให้การปิดช่องว่างใน API เป็นไปได้อย่างไร้รอยต่อตั้งแต่มุมของนักพัฒนา
3.) ตรวจจับอย่างมั่นใจ
ข้อบกพร่องของการตั้งค่าอาจเป็นรูรั่วที่นำไปสู่เหตุการณ์ไม่คาดฝันได้ ทั้งนี้ Akamai API Security มีความสามารถในการสแกน infrastructure ขององค์กรเพื่อค้นหาการตั้งค่าที่ผิดพลาด และระบุได้ว่า API ใดที่ถูกใช้โดยใครและสิทธิ์ในการเข้าถึงข้อมูลละเอียดอ่อน นอกจากนี้ยังรองรับทราฟฟิคของ API จาก API Gateway, Load Balancer, WAF หรือ Akamai CDN ซึ่งจำเป็นสำหรับการวิเคราะห์ภาพรวมของทราฟฟิค
อีกหนึ่งประเด็นสำคัญของ Akamai API Security คือการติดตามพฤติกรรมของ API อย่างต่อเนื่อง ซึ่งเป็นกลไกที่จะแยกแยะได้ว่าผู้ใช้มีพฤติกรรมที่เบี่ยงเบนออกจากเดิม อาจเพราะถูกขโมยบัญชีแล้วหรือความจงใจเพื่อละเมิดต่อ Policy ขององค์กร ด้วยความพยายามเข้าถึงข้อมูลสำคัญ
4.) ตอบสนองอย่างเป็นระบบ
องค์กรต้องระลึกเสมอว่าการโจมตีเกิดขึ้นได้ แต่เมื่อเกิดเหตุแล้วจะตอบสนองได้อย่างไรให้รวดเร็วที่สุด โดยผู้ใช้งาน Akamai API Security สามารถสร้าง Workflow ในการแจ้งผู้เกี่ยวข้องต่างๆได้ ที่สำคัญคือ Akamai เน้นย้ำอย่างยิ่งถึงการตอบสนองร่วมกับโซลูชันด้านความมั่นคงปลอดภัยอื่นๆอย่างไร้รอยต่อ เช่น SIEM, ITSM, API Gateway, Cloud Platform และ CI/CD
Akamai API Security เป็นโซลูชันที่ไม่ยึดติดกับแพลตฟอร์มใดโดยแม้ว่าท่านจะไม่ได้ใช้ Akamai CDN หรือโซลูชันอื่นใดของ Akamai มาก่อนก็สามารถใช้งานโซลูชันนี้ได้ โดยมีตัวเลือกสำหรับการใช้งานได้หลายสถานการณ์ทั้งรูปแบบ SaaS, Hybrid และ On-prem โดยการใช้งานไม่จำเป็นต้องเปลี่ยนแปลงการตั้งค่าเครือข่ายหรือ Agent เพิ่มเติม
บทสรุป
Akamai API Security เป็นโซลูชันที่ถูกออกแบบมาเพื่อตอบโจทย์การทำงานของ API ได้อย่างแท้จริง เพราะโซลูชันแบบเดิมอย่าง WAAP หรือแม้แต่ API Gateway ที่มีฟังก์ชันด้านความมั่นคงปลอดภัยก็ยังขาดเรื่องการวิเคราะห์พฤติกรรมเชิงลึกและความเข้าใจใน Payload หรือความสามารถในการมองภาพรวมของพฤติกรรม API ในระยะยาว เปรียบเทียบได้ว่าเป็น XDR ในเลเยอร์ของ API นั่นเอง
ทั้งนี้ Akamai API Security ยังช่วยให้ทีมงานด้านความมั่นคงปลอดภัยทำงานร่วมกับนักพัฒนาผ่าน CI/CD Pipeline เพื่อช่วยกลบช่องว่างของการโจมตีตั้งแต่ขั้นตอนการพัฒนาซอฟต์แวร์ นั่นหมายความว่าไม่ว่าท่านจะมีระบบจัดการ API แบบเดิม หรือไม่เคยมีมาก่อน และกำลังหวังพัฒนา API ขึ้นใหม่ บริการ Akamai API Security ก็สามารถรองรับทุกความต้องการนั้นได้อย่างไร้รอยต่อ
Source: techtalkthai.com / Akamai
