Các đang ngày càng trở thành mục tiêu ưa thích của tin tặc để chúng tìm cách xâm nhập vào môi trường bằng phần mềm độc hại như cryptojacking và . Hiện nay, công ty 42Crunch và đang giải quyết những mối đe dọa này bằng cách ủng hộ phương pháp tiếp cận “shift-left” đối với bảo mật và khám phá API giúp các nhà phát triển có thể bảo vệ mã trong quy trình xây dựng API.
Mặc dù việc sử dụng dịch vụ đám mây mang lại cho các doanh nghiệp nhiều lợi ích bảo mật, nhưng kéo theo đó là việc các lỗ hổng bảo mật mới vẫn tiếp tục phát sinh mang lại cho tin tặc những con đường mới để tấn công vào các môi trường dựa trên đám mây. Một trong những con đường tấn công như vậy là API. Mọi thiết bị di động được kết nối, các website hiện đại hoặc ứng dụng được lưu trữ trên đám mây đều sử dụng và hiển thị các API. Các API này cho phép truy cập vào dữ liệu và sử dụng chức năng của các ứng dụng.
Mặc dù chúng khá dễ bị lộ, nhưng lại rất khó để bảo vệ trước các cuộc tấn công API. Hơn thế nữa, các shadow API và API zombie (các API không dùng đến nữa mà doanh nghiệp cho rằng đã bị vô hiệu hóa) xuất hiện đầy rẫy, cách kiểm tra lỏng lẻo, thông số kỹ thuật API không đầy đủ dẫn đến các vấn đề xác thực và ủy quyền thường tăng lên. Để giải quyết những thách thức này, 42Crunch đã hợp tác với Cisco để tạo ra APIClarity, một công cụ mã nguồn mở mới để cải thiện cấu hình và bảo vệ các API.
Trong một nghiên cứu gần đây về Cảnh quan đe doạ đám mây, IBM phát hiện ra rằng 2/3 số vụ vi phạm đám mây có thể là do các API được định cấu hình sai.
Ngày nay, APIClarity sử dụng khung Service Mesh để khám phá các API và có thể được sử dụng cùng với các khả năng Kiểm tra API của 42Crunch để cải thiện cấu hình API. Biết thông số kỹ thuật API là bước đầu tiên để xác định các rủi ro API và APIClarity nắm bắt tất cả lưu lượng API hiện có, đồng thời xây dựng thông số kỹ thuật OpenAPI bằng cách quan sát lưu lượng API và cho phép người dùng tải lên thông số kỹ thuật OpenAPI để xem xét, sửa đổi và phê duyệt các thông số kỹ thuật đã tạo.
APIClarity cảnh báo người dùng về sự khác biệt giữa thông số kỹ thuật API đã được phê duyệt và đặc điểm kỹ thuật được quan sát trong thời gian chạy, đồng thời phát hiện các shadow API và API zombie bằng cách kiểm tra bảng điều khiển giao diện người dùng và giám sát các phát hiện API.
Ông Vijoy Pandey, Phó chủ tịch của Emerging Technologies and Incubations tại Cisco cho biết: “Có một chiến lược bảo mật API mạnh mẽ là rất quan trọng để các doanh nghiệp thành công với các dự án chuyển đổi kỹ thuật số của mình. Ra mắt APIClarity thể hiện một bước quan trọng trong việc cung cấp giải pháp bảo mật API end-to-end cho môi trường đám mây doanh nghiệp. Chúng tôi rất vui mừng về tiềm năng của APIClarity để trao quyền cho các nhà phát triển áp dụng cách tiếp cận bảo mật dưới dạng mã hóa để bảo vệ API của họ và tiếp tục làm việc với các tổ chức như 42Crunch, những người có cùng tầm nhìn để phát triển bảo mật API cao hơn nữa”.
Bà Isabelle Mauny, CTO và đồng sáng lập của 42Crunch, cho biết: “Các nhóm bảo mật và API ngày nay giống như đang đứng ở ngã ba đường. Họ có thể cố gắng tiếp tục chặn các mối đe dọa API, sau khi chúng đã được xác định và gây ra thiệt hại tiềm ẩn hoặc họ có thể áp dụng các phương pháp phòng ngừa bằng cách mã hóa bảo mật vào API của họ tại thời điểm thiết kế để bảo vệ trong suốt vòng đời của API. Sáng kiến này của 42Crunch và Cisco đã trao quyền cho các nhà phát triển các công cụ để xây dựng và tự động hóa bảo mật trong quy trình phát triển API của họ. Nó cũng đảm bảo các nhóm bảo mật duy trì toàn quyền kiểm soát việc thực thi chính sách bảo mật ở mọi giai đoạn của vòng đời API, từ thiết kế đến bảo vệ trong thời gian chạy”.
Quốc Trường
(Theo Helpnetsecurity)
08:00 | 30/09/2021
09:00 | 23/11/2021
13:00 | 27/04/2022
07:00 | 20/05/2022
14:00 | 11/02/2022
09:00 | 19/04/2022
17:00 | 09/10/2021
09:00 | 12/03/2021
09:00 | 16/11/2021
11:00 | 26/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
12:00 | 20/08/2024
Toyota xác nhận hệ thống mạng tại Mỹ bị xâm nhập, 240 GB dữ liệu đã bị đánh cắp và đang được rao bán trên diễn đàn hacker.
08:00 | 17/07/2024
Trong bối cảnh lo ngại về quyền riêng tư, cơ quan bảo vệ dữ liệu của Brazil (Autoridade Nacional de Proteção de Dados - ANPD) đã tạm thời cấm Meta xử lý dữ liệu cá nhân của người dùng để đào tạo thuật toán trí tuệ nhân tạo (AI) của công ty.
10:00 | 07/07/2024
Bản tin podcast ngày hôm nay xin được điểm lại những dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 07 tháng 7 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 05 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
08:00 | 05/09/2024
Giữa những trang sử vàng của cuộc kháng chiến chống Mỹ, có những câu chuyện về những người lính thầm lặng, những người không trực tiếp cầm súng chiến đấu nhưng lại nắm giữ một vũ khí vô cùng lợi hại, đó là thông tin. Họ là những chiến sĩ cơ yếu, những người đã cống hiến cả cuộc đời mình cho sự nghiệp bảo vệ bí mật quốc gia, góp phần không nhỏ vào thắng lợi của dân tộc. Ông Nguyễn Văn Khôi, một cựu chiến binh cơ yếu, là một trong những nhân chứng sống của thời kỳ hào hùng đó.
08:00 | 05/09/2024
Google chính thức giới thiệu hai tính năng Gemini mới cho Gmail, tích hợp trí tuệ nhân tạo (AI) để hỗ trợ người dùng viết và chỉnh sửa email, cải thiện hiệu suất và chất lượng công việc.
11:00 | 03/09/2024