Riset Akamai: Keamanan API untuk Lindungi Bisnis Digital

Digital Native Business (DNB) di kawasan Asia Pasifik menganggap keamanan application programming interface (API) sebagai prioritas utama dalam upaya memperkuat keamanan siber. Hal ini disebabkan oleh meningkatnya minat peretas terhadap API.

Pernyataan ini disampaikan oleh Akamai Technologies yang bekerja sama dengan firma riset TechnologyAdvice dalam studi berjudul "Asia's Digital Native Businesses Prioritize Security for Sustainable Growth". Penelitian yang dilakukan antara Maret hingga Mei 2024 melibatkan delapan negara di Asia Pasifik, termasuk Australia, Selandia Baru, Indonesia, India, Singapura, dan Thailand. Sebanyak 200 pemimpin teknologi dari berbagai industri, termasuk penerbangan, media/penerbitan, e-commerce, dan game ikut berpartisipasi dalam studi ini.

DNB Merujuk kepada perusahaan-perusahaan yang menjalankan operasional bisnis secara berani, terutama dalam penjualan, pemasaran, layanan pelanggan, dan pemrosesan transaksi melalui internet. Menurut Akamai, keberlangsungan bisnis digital mereka sangat bergantung pada teknologi cloud, dengan layanan API yang berperan penting dalam operasional. “Survei menunjukkan bahwa tiga dari empat DNB di wilayah Asia Pasifik memanfaatkan teknologi cloud dengan fokus pada efisiensi dan produktivitas,” jelas Akamai.

API memungkinkan pebisnis untuk mendigitalisasi, menghubungkan, dan menginovasi produk maupun layanan. Selain itu, API juga mengoordinasikan integrasi aplikasi, mendukung pengembangan produk digital baru, dan memungkinkan akses terhadap data serta layanan secara universal. Berdasarkan penelitian Akamai, tiga dari empat DNB yang disurvei menggunakan teknologi cloud dan 74 persen responden telah sepenuhnya beralih ke cloud atau mengadopsi teknologi cloud. Dalam upaya menjaga keamanan bisnis mereka, responden berinvestasi dalam keamanan siber.

Berikut adalah area investasi yang dianggap paling penting hingga yang kurang penting menurut responden dalam studi "Asia's Digital Native Businesses Prioritize Security for Sustainable Growth":

• Keamanan API lanjutan
• Keamanan aplikasi web
• Teknologi anti phishing
• Mitigasi Distributed Denial of Service (DDoS)
• Teknologi terkait Zero Trust

Pemanfaatan cloud dan API oleh bisnis digital menghadapi sejumlah tantangan. Adopsi infrastruktur berbasis cloud dan penggunaan API secara efektif membuat DNB rentan terhadap berbagai serangan siber seperti phishing, pembobolan akun, ransomware, dan serangan API, dibandingkan dengan perusahaan tradisional.

Menurut Reuben Koh, Director of Security Technology & Strategy di Akamai Technologies, industri yang bergantung pada teknologi digital, seperti game, teknologi tinggi, media video, dan perdagangan, sering menjadi target serangan API. “Hacker mulai menargetkan API yang kecil, ringan, dan cepat, tetapi dapat menangani data dalam jumlah besar setiap detik. Oleh karena itu, API menjadi target empuk bagi hacker,” kata Reuben saat memaparkan hasil studi kepada media secara berani pada hari Kamis (26/9/2024).

Berikut adalah daftar industri yang mengalami serangan API terbanyak di Asia Pasifik dan Jepang pada tahun 2023:

• Manufaktur - 31,2 persen
• Game - 25,2 persen
• Teknologi tinggi - 24,4 persen
• Media video - 24 persen
• Perdagangan - 22,3 persen
• Media digital lainnya - 21,9 persen
• Layanan bisnis - 21,5 persen
• Jasa keuangan - 14 persen
• Judi - 9,5 persen
• Farmasi/Pelayanan Kesehatan - 3,7 persen
• Media sosial - 2,8 persen
• Organisasi nirlaba/Pendidikan - 2,5 persen
• Sektor publik - 2,3 persen

Akamai mengutak-atik beberapa vektor atau metode serangan API yang perlu diperhatikan oleh bisnis digital:

• Penyertaan Berkas Lokal (LFI)
• Suntikan perintah (CMDi)
• Pemalsuan permintaan sisi server (SSRF)
• Permintaan bot

Permintaan bot juga menjadi perhatian. Menurut Akamai, selama periode pelaporan 12 bulan yang sama, 40 persen dari lebih dari dua triliun permintaan bot yang mencurigakan ditujukan ke API. Tantangan yang dihadapi dalam mengamankan API bukanlah hal yang mudah. Sebagian besar responden mencatat bahwa infrastruktur TI mereka yang rumit menjadi hambatan utama dalam memperkuat keamanan siber perusahaan.

Dengan adanya tantangan ini, Akamai merekomendasikan empat pendekatan dalam mengelola keamanan API:

1. Penemuan dan visibilitas: Version API yang tidak terkelola dengan baik dapat meningkatkan risiko bagi bisnis. Misalnya, API shadow yang beroperasi di luar jangkauan pengelolaan dapat menjadi titik kelemahan. 
2. Akses sumber daya yang tidak diautentikasi: Akamai menjelaskan bahwa autentikasi dan otorisasi dapat menjadi rumit dalam skenario mesin ke mesin. Pengguna atau sistem mungkin saja mengakses sumber daya API tanpa autentikasi yang memadai, sering kali disebabkan oleh kesalahan dalam penerapan atau konfigurasi API.
3. Perlindungan Runtime: Oleh karena itu, API yang berfungsi untuk pertukaran data secara aktif sulit dibedakan antara permintaan yang sah dan yang berbahaya. Ancaman yang bersifat mengelabui, seperti logika API, dikenal sulit terdeteksi karena mampu berbaur dengan permintaan API yang umum.
4. Uji API: Keamanan API harus diintegrasikan dalam setiap fase pengembangan untuk meningkatkan keamanan tanpa mengganggu kecepatan. Dari sudut pandang biaya dan perbaikan, lebih mudah untuk memperbaiki masalah selama fase pengembangan API dibandingkan setelah API dikerahkan. 

Akamai Technologies adalah perusahaan multinasional yang menyediakan layanan jaringan pengiriman konten (CDN), keamanan siber, mitigasi DDoS, dan layanan cloud.