การศึกษาเผยให้เห็นว่าทีมรักษาความปลอดภัยรู้สึกถึงผลกระทบจากภัยคุกคาม API ที่เพิ่มขึ้น

study-reveals-security-teams-feel-impact-rising-api-threats-Social

ตรวจสอบให้แน่ใจว่าทีมของคุณได้รับการอบรมเรื่องความปลอดภัยของ API อย่างต่อเนื่อง

จากการศึกษาผลกระทบด้านความปลอดภัยของ API ปี 2024 โดย Akamai พบว่า การโจมตี API กำลังเพิ่มขึ้นอย่างน่าตกใจ ผลสำรวจจากผู้เชี่ยวชาญด้านไอทีและความปลอดภัยกว่า 1,200 คน ระบุว่า 84% เคยเผชิญเหตุการณ์ด้านความปลอดภัยของ API ในช่วง 12 เดือนที่ผ่านมา เพิ่มขึ้นจาก 78% ในปีก่อน นอกจากนี้ องค์กรยังได้รับผลกระทบอย่างชัดเจน ทั้งต้นทุนในการแก้ไขปัญหาที่สูงขึ้นและความเครียดที่เพิ่มมากขึ้น

เมื่อเหตุการณ์ด้านความปลอดภัยของ API เพิ่มขึ้น องค์กรต่าง ๆ ต้องเผชิญกับความท้าทายในการระบุและจัดการความเสี่ยงที่อาจเกิดขึ้น

ไม่ใช่เรื่องน่าแปลกใจที่จำนวนเหตุการณ์ด้านความปลอดภัยของ API จะเพิ่มขึ้น ลองนึกภาพว่า API ทำหน้าที่คล้ายกับพนักงานในองค์กรที่ช่วยแลกเปลี่ยนข้อมูลระหว่างระบบดิจิทัลอย่างรวดเร็วและมีประสิทธิภาพ แม้จะมีบทบาทสำคัญในการให้บริการแก่ลูกค้าและพันธมิตร แต่ API ก็เป็นช่องโหว่ที่มีความเสี่ยงสูง เนื่องจากต่างจากพนักงานทั่วไป API ต้องจัดการกับข้อมูลที่ละเอียดอ่อนโดยแทบไม่มีการควบคุมอย่างใกล้ชิด

อีกหนึ่งปัญหาสำคัญคือ API จำนวนมากถูกพัฒนาและใช้งานโดยที่แผนกไอทีหลักขององค์กรไม่ทราบ ทำให้ API เหล่านี้ไม่ถูกตรวจพบโดยเครื่องมือรักษาความปลอดภัยทั่วไป ส่งผลให้ทีมรักษาความปลอดภัยขาดการมองเห็นและประเมินความเสี่ยง แม้แต่ API ที่อยู่ภายใต้การดูแลก็อาจยังมีช่องโหว่ที่ไม่ได้รับการตรวจสอบอย่างเพียงพอ

คุณไม่สามารถปกป้องสิ่งที่คุณมองไม่เห็นได้

จากการศึกษาผลกระทบด้านความปลอดภัยของ API ปี 2024 พบว่า มีเพียง 27% ของผู้ตอบแบบสอบถามที่มั่นใจว่าพวกเขามีรายการ API ที่ครบถ้วนและรู้ว่า API ใดส่งคืนข้อมูลที่ละเอียดอ่อน ซึ่งลดลงจาก 40% ในปีที่แล้ว นอกจากนี้ ยังพบความไม่สอดคล้องกันระหว่างบทบาทหน้าที่ของผู้บริหารด้านไอที โดย 43% ของ CIO เชื่อว่าพวกเขาทราบข้อมูล API ที่เกี่ยวข้องกับข้อมูลสำคัญ ขณะที่มีเพียง 17% ของ CISO ที่มีความมั่นใจในเรื่องนี้

การขาดความชัดเจนนี้เป็นเรื่องที่น่ากังวลอย่างยิ่ง โดยเฉพาะเมื่อพิจารณาข้อมูลดังต่อไปนี้:

มีการบันทึกการโจมตี API ถึง 108 พันล้านครั้ง ตั้งแต่เดือนมกราคม 2023 ถึงมิถุนายน 2024 ตามรายงาน State of the Internet (SOTI) ล่าสุดของ Akamai
API ที่ถูกเจาะเพียงตัวเดียวอาจนำไปสู่ การขโมยข้อมูลสำคัญ ก่อให้เกิดความเสียหายต่อรายได้และค่าปรับทางกฎหมาย

เมื่อองค์กรไม่สามารถมองเห็นหรือควบคุม API ได้อย่างชัดเจน ความเสี่ยงด้านความปลอดภัยจึงเพิ่มสูงขึ้นอย่างหลีกเลี่ยงไม่ได้

ภัยคุกคามจาก API กำลังส่งผลกระทบอย่างชัดเจนต่อองค์กร

จากการสำรวจความคิดเห็นของผู้เชี่ยวชาญ ตั้งแต่ CISO ไปจนถึงทีม AppSec พบว่าเหตุการณ์ด้านความปลอดภัยของ API ก่อให้เกิดต้นทุนทางการเงินที่สำคัญ รวมถึงค่าใช้จ่ายในการแก้ไขปัญหาและค่าธรรมเนียมทางกฎหมาย โดยเฉลี่ยแล้ว องค์กรที่เผชิญกับเหตุการณ์ความปลอดภัยของ API ในช่วง 12 เดือนที่ผ่านมา ต้องแบกรับค่าใช้จ่ายเฉลี่ยสูงถึง 591,404 ดอลลาร์สหรัฐ

นอกจากนี้ ผู้ตอบแบบสำรวจยังได้แบ่งปันมุมมองเกี่ยวกับ ผลกระทบที่สำคัญที่สุด จากเหตุการณ์ด้านความปลอดภัยของ API ซึ่งสะท้อนให้เห็นถึงความท้าทายที่องค์กรต้องเผชิญในการปกป้องข้อมูลและลดความเสี่ยงทางธุรกิจ

จากการสำรวจเกี่ยวกับผลกระทบของเหตุการณ์ด้านความปลอดภัยของ API ผู้ตอบแบบสอบถามได้ระบุปัจจัยสำคัญที่ได้รับผลกระทบมากที่สุด ดังนี้:

ผลกระทบหลักจากเหตุการณ์ด้านความปลอดภัยของ API

ความเครียดและความกดดันที่เพิ่มขึ้นในทีม – 27%
ผลกระทบด้านชื่อเสียงของแผนกต่อผู้นำระดับสูงและคณะกรรมการ – 26.6%
ค่าใช้จ่ายในการแก้ไขปัญหา – 25.8%
ค่าปรับจากหน่วยงานกำกับดูแล – 25.4%
สูญเสียความเชื่อมั่นของลูกค้าและการยกเลิกบัญชี – 25%

(ข้อมูลจากคำถาม: “เหตุการณ์ด้านความปลอดภัยของ API มีค่าใช้จ่ายและ/หรือส่งผลกระทบอะไรบ้างต่อธุรกิจของคุณ?” (เลือกได้สูงสุด 3 ข้อ); n=1,207)

ผลสำรวจนี้สะท้อนให้เห็นว่าเหตุการณ์ด้านความปลอดภัยของ API ไม่เพียงสร้างภาระทางการเงินให้กับองค์กร แต่ยังส่งผลกระทบต่อทีมงาน ชื่อเสียงองค์กร และความไว้วางใจของลูกค้าอีกด้วย

ผลการวิจัยเหล่านี้บอกอะไรเราได้บ้าง? การโจมตีในทุกรูปแบบล้วนเป็นเรื่องที่น่ากังวล แต่สิ่งที่ทำให้ การโจมตี API แตกต่างออกไปคือระดับความเครียดและความกดดันที่เกิดขึ้นเมื่อองค์กรต้องรับมือกับภัยคุกคามที่ไม่คุ้นเคย องค์กรจำนวนมากกำลังเรียนรู้เกี่ยวกับ ความซับซ้อนของความเสี่ยง API มากขึ้น ในขณะเดียวกัน ความกดดันจากผู้นำระดับสูงก็เพิ่มขึ้น เมื่อพวกเขาต้องการคำตอบว่า “สิ่งนี้เกิดขึ้นได้อย่างไร?”

เมื่อความตระหนักเกี่ยวกับภัยคุกคาม API เพิ่มขึ้น องค์กรต่าง ๆ ก็เริ่มหันมาวิเคราะห์ ต้นเหตุของปัญหา

สาเหตุหลักของเหตุการณ์ด้านความปลอดภัย API

โชคดีที่ทีมรักษาความปลอดภัยส่วนใหญ่เริ่มตระหนักถึงช่องโหว่ที่อาจเกิดขึ้น และเร่งเรียนรู้ว่าการโจมตี API เกิดขึ้นได้อย่างไร อย่างไรก็ตาม พวกเขายังพบว่าเครื่องมือรักษาความปลอดภัยที่ใช้อยู่ในปัจจุบัน ไม่เพียงพอ อีกต่อไป ผู้ตอบแบบสำรวจได้ระบุ ปัจจัยหลัก ที่นำไปสู่เหตุการณ์ด้านความปลอดภัยของ API ซึ่งรวมถึง:

ข้อจำกัดของเครื่องมือรักษาความปลอดภัย – API จำนวนมากที่ไม่ได้รับการจัดการไม่ได้อยู่ภายใต้ขอบเขตของเครื่องมือที่ใช้งานอยู่ ส่งผลให้ทีมรักษาความปลอดภัยไม่สามารถตรวจจับเหตุการณ์ที่เกิดขึ้นได้
ช่องโหว่ที่พบใน OWASP Top 10 API Security Risks – เช่น ข้อผิดพลาดในการเขียนโค้ดที่เร่งรีบ และการขาดมาตรการควบคุมการยืนยันตัวตนที่เหมาะสม

ข้อมูลเหล่านี้แสดงให้เห็นว่าองค์กรยังคงต้องพัฒนาแนวทางและกลยุทธ์ที่แข็งแกร่งขึ้นในการรักษาความปลอดภัย API เพื่อรับมือกับความเสี่ยงที่เพิ่มขึ้นอย่างต่อเนื่อง

4 ประเด็นสำคัญที่องค์กรควรให้ความสำคัญในการปกป้อง API

ภัยคุกคาม API ในปัจจุบันจำเป็นต้องใช้กลยุทธ์และโซลูชันที่เน้นใน 4 ประเด็นหลัก ได้แก่:

การค้นหา API
การจัดการท่าที (Posture management)
การปกป้องการทำงานในเวลาใช้งาน (Runtime protection)
การทดสอบความปลอดภัย

การค้นหา API

เพิ่มการมองเห็น: เผยให้เห็น API ที่ซ่อนอยู่และไม่ได้รับการจัดการ ซึ่งอาจเข้าถึงข้อมูลโดยไม่ได้รับการตรวจสอบ ควรใช้เครื่องมือที่มีระบบค้นหา API แบบอัตโนมัติ พร้อมทั้งวิเคราะห์ความเสี่ยงของ API และจัดทำเอกสารอย่างละเอียด เพื่อสร้างรายการ API ที่ครอบคลุม

การจัดการสถานะ (Posture Management)

เสริมความแข็งแกร่งให้กับสถานะ: เข้าใจความแตกต่างระหว่างพฤติกรรมปกติและพฤติกรรมที่ผิดปกติของ API พร้อมเพิ่มการมองเห็นประเภทการแจ้งเตือนทั่วไป ซึ่งจะช่วยให้องค์กรสามารถตรวจจับสัญญาณการโจมตีล่วงหน้า นำข้อมูลเชิงลึกเหล่านี้มาใช้ในการลดความเสี่ยง จัดลำดับความสำคัญ และพัฒนากลยุทธ์ความปลอดภัยของ API ให้แข็งแกร่งยิ่งขึ้น

การปกป้อง API ขณะทำงาน (Runtime Protection)

ปกป้องและเฝ้าระวังระหว่างการใช้งาน: รวมโซลูชันความปลอดภัย API แบบครบวงจรเข้ากับระบบรักษาความปลอดภัยที่ใช้อยู่แล้ว เช่น Web Application Firewall หรือเครื่องมือรักษาความปลอดภัยสำหรับแอปพลิเคชันเว็บและ API เพื่อให้สามารถตรวจจับพฤติกรรมที่มีความเสี่ยงสูงและบล็อกทราฟฟิกที่น่าสงสัยได้ทันที ก่อนที่ทราฟฟิกเหล่านั้นจะเข้าถึงทรัพยากรที่สำคัญ

การทดสอบความปลอดภัย (Security Testing)

เริ่มทดสอบตั้งแต่เนิ่น ๆ และทำอย่างต่อเนื่อง: ใช้แนวทาง “shift-left” ซึ่งนำการทดสอบความปลอดภัยมาไว้ในขั้นตอนการพัฒนา API ตั้งแต่แรกเริ่ม ทดสอบว่า API ถูกเขียนโค้ดอย่างถูกต้องเพื่อทำงานตามที่ตั้งใจหรือไม่ มีความเสี่ยงหรือไม่ และมีช่องโหว่ต่อการโจมตีทั้งแบบทั่วไปและแบบใหม่หรือไม่

ข้อคิดปิดท้าย: ตระหนักถึงผลกระทบและเตรียมพร้อมลงมือ

อย่ามองข้อมูลในการศึกษานี้เป็นเพียงข้อสังเกตหรือความแตกต่างเพียงอย่างเดียว แต่ให้ใช้เป็นจุดเริ่มต้นในการสนทนาสำคัญเกี่ยวกับความปลอดภัยของ API เมื่อจำนวนเหตุการณ์ที่เกี่ยวกับความปลอดภัย API เพิ่มขึ้น ความกังวลที่ CISO และทีมงานของพวกเขารู้สึกก็ยิ่งเพิ่มขึ้นเช่นกัน รวมถึงความคาดหวังจากผู้นำธุรกิจที่มองหาทีมความปลอดภัยในการปกป้ององค์กรจากการโจมตีทาง API ซึ่งอาจสร้างความกดดันให้กับทุกฝ่าย

อย่าลืมเสริมสร้างความรู้เกี่ยวกับความปลอดภัย API ให้กับทีมของคุณอย่างต่อเนื่อง และอ่านรายงานสำคัญฉบับนี้เพื่อรับข้อมูลเชิงลึกที่จำเป็น

Source: akamai.com/blog