API

Forrester: Mengapa API membutuhkan zero-trust security

August 30, 2021 by Winnie the Pooh

API saat ini membuktikan nilainya dengan mendorong pertumbuhan pendapatan bisnis digital baru dan mengubah model bisnis yang sudah berusia puluhan tahun. API semacam itu juga telah menjadi vektor ancaman yang tumbuh cepat dan penghubung dari apa yang disebut oleh kelompok riset Forrester sebagai “ketidakamanan API.” Yang dibutuhkan perusahaan adalah mendekati API dari paradigma zero-trust security.

Karena API real-time menggantikan pendekatan tradisional untuk integrasi dan pengembangan, penting untuk bekerja menuju pendekatan zero-trust yang tidak bergantung pada metode keamanan berbasis perimeter.

Laporan Forrester’s API Insecurity: The Lurking Threat In Your Software baru-baru ini menunjukkan bahwa melindungi API dengan keamanan berbasis perimeter gagal menghentikan peningkatan keparahan dan kecanggihan serangan. Selain itu, API adalah target bergerak yang sulit dipahami karena rentan terhadap serangkaian ancaman yang lebih luas dan lebih kompleks daripada yang biasanya dihadapi aplikasi web.

Mengingat betapa meluasnya API saat ini, organisasi memerlukan strategi keamanan API menyeluruh yang berskala untuk mengatasi tantangan kepatuhan dan keamanan sambil menjaga hasil bisnis tetap seimbang. Zero-trust security dapat mengatasi tantangan tersebut dan diperlukan untuk mengamankan API di seluruh siklus pengembangan perangkat lunak dan hingga produksi.

Manfaat bisnis dari API adalah nyata, karena programmer menggunakannya untuk pengembangan dan integrasi yang cepat. Tetapi API tanpa jaminan menghadirkan tantangan keamanan aplikasi yang tajam yang tidak dapat diabaikan.

Selengkapnya: Venturebeat

Memikirkan Kembali Keamanan Aplikasi di Era Pertama API

July 3, 2021 by Winnie the Pooh

Mengamankan aplikasi di era pertama API bisa menjadi perjuangan yang berat. Seiring dengan percepatan pembangunan, akuntabilitas menjadi tidak jelas, dan menjalankan kontrol menjadi tantangan tersendiri. Saatnya kami memikirkan kembali strategi keamanan aplikasi kami untuk mencerminkan prioritas, prinsip, dan proses baru di era pertama API. Mengamankan aplikasi masa depan dimulai dengan menilai risiko bisnis hari ini.

Karena dunia terus menjadi semakin saling terhubung melalui perangkat — dan API yang menghubungkannya — individu semakin terbiasa dengan pengalaman tanpa gesekan yang mereka berikan. Meskipun realitas tanpa gesekan ini tidak diragukan lagi lebih ramah pengguna, yaitu lebih cepat dan lebih nyaman, ini juga membutuhkan pertukaran. Kenyamanan ini menuntut keterbukaan, dan keterbukaan adalah risiko dalam hal keamanan siber.

Menurut Sidney Gottesman, SVP Mastercard untuk Inovasi Keamanan, situasi di atas mengarah ke salah satu tren terbesar yang membentuk postur keamanan untuk aplikasi saat ini: Krisis kepercayaan antara individu dan aplikasi yang mereka gunakan.

Tren utama kedua adalah rantai pasokan. Menangani risiko Anda sendiri saja tidak cukup, karena serangan semakin menembus sistem internal melalui pihak ketiga, komponen yang dipasok vendor. Dalam produk digital dan bahkan produk perangkat keras yang terhubung, rantai pasokan kini terdiri dari berbagai layanan yang digabungkan bersama dalam produk akhir melalui API, menciptakan jenis risiko integrasi baru yang berakar pada rantai pasokan.

selengkapnya : thehackernews.com

Experian API Membocorkan Skor Kredit Kebanyakan Orang Amerika

April 30, 2021 by Winnie the Pooh

Seorang peneliti mengklaim bahwa nilai kredit dari hampir setiap orang Amerika diekspos melalui alat API yang digunakan oleh biro kredit Experian, yang menurutnya dibiarkan terbuka di situs pemberi pinjaman bahkan tanpa perlindungan keamanan dasar.

Experian membantah kekhawatiran dari komunitas keamanan bahwa masalah tersebut dapat menjadi sistemik.

Alat tersebut, yang bernama Experian Connect API, memungkinkan pemberi pinjaman untuk mengotomatiskan kueri skor FICO. Bill Demirkapi, mahasiswa tahun kedua di Rochester Institute of Technology, sedang berbelanja pinjaman mahasiswa ketika ia menemukan pemberi pinjaman yang akan memeriksa kelayakannya hanya dengan nama, alamat dan tanggal lahir, menurut laporan yang diterbitkan.

Demirkapi terkejut dan memutuskan untuk melihat kodenya, yang menunjukkan bahwa koneksi ke API Experian ada di belakang alat tersebut, katanya.

“Tidak seorang pun seharusnya dapat melakukan pemeriksaan kredit Experian dengan hanya informasi yang tersedia untuk umum,” kata Demirkapi kepada Krebs On Security, yang merupakan orang pertama yang mengungkap cerita tentang kebocoran tersebut.

Selain skor kredit mentah, Krebs mengatakan bahwa dia dapat menggunakan koneksi API untuk mendapatkan “faktor risiko” dari Experian yang menjelaskan potensi kekurangan dalam riwayat kredit seseorang.

Selengkapnya: The Threat Post

Keamanan API menjadi prioritas ‘atas’ untuk pemain perusahaan

March 23, 2021 by Winnie the Pooh

Ketika serangan terhadap API terus meningkat, perusahaan mulai mengambil aspek keamanan adopsi API dengan lebih serius.

Dalam laporan baru yang dirilis oleh Imvision, “API Security is Coming,” Perusahaan meminta lebih dari 100 profesional Cybersecurity di AS dan Eropa untuk wawasan tentang Keamanan API Perusahaan saat ini.

Application programming interfaces (API) menghubungkan layanan dan sistem teknologi yang berbeda. Mereka dapat memproses kueri dari klien, berurusan dengan instruksi sisi server, dan dapat memfasilitasi pengambilan dan pemrosesan data.

Menurut laporan itu, 91% profesional TI mengatakan keamanan API harus dianggap sebagai prioritas dalam dua tahun ke depan, terutama karena lebih dari 70% perusahaan perusahaan diperkirakan menggunakan lebih dari 50 API.

Namun, menemukan pendekatan holistik untuk ‘tulang punggung’ keamanan API ini tetap menjadi tantangan. Lebih dari 80% organisasi diperkirakan menggunakan, atau berencana untuk menggunakan, solusi manajemen terpusat untuk keamanan API – seperti platform Manajemen API (APIM) – tetapi hanya sepertiga responden yang percaya bahwa penyiapan API mereka cukup dilindungi dari serangan siber hari ini.

Perusahaan mengutip integrasi solusi API dengan sistem dan alur kerja saat ini dan mendapatkan visibilitas ke dalam penggunaan API secara keseluruhan sebagai penghalang utama untuk meningkatkan keamanan API.

Selengkapnya: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

API

Cookies Settings