Vượt xa WAAP: Bảo mật API toàn diện cùng Akamai 

Thấu hiểu thách thức này, Akamai đã phát triển Akamai API Security – giải pháp bảo mật API liên tục hoạt động và vượt trội hơn WAAP truyền thống. Thương vụ mua lại Noname Security đã nâng tầm chiến lược của Akamai, thúc đẩy đổi mới và mang lại giá trị thực tế cho doanh nghiệp.

Phát hiện API bóng ma và API xác sống

Để xây dựng chính sách bảo mật API hiệu quả, điều kiện tiên quyết là phải phát hiện toàn bộ hệ thống API hiện có. Khác với các lĩnh vực bảo mật khác, đa phần nhóm bảo mật hiện nay không nắm đầy đủ quy mô API của tổ chức, một phần vì API được phát triển bởi nhiều nhóm độc lập, đôi khi thiếu kiểm soát.

Ngay cả khi các công cụ tập trung như API Gateway được áp dụng, Akamai vẫn thường xuyên phát hiện hàng loạt API chưa từng được ghi nhận, bao gồm:

• Shadow APIs: Được triển khai ngoài quy trình chính thức, thiếu tài liệu và đánh giá bảo mật.
• Zombie APIs: Đã ngừng sử dụng nhưng vẫn còn hoạt động âm thầm, tiềm ẩn nguy cơ bị khai thác.
• Rogue APIs: Do bên thứ ba phát triển, truy cập dữ liệu trái phép mà doanh nghiệp không hay biết.

Theo thống kê từ Akamai, trung bình 40% API trong mỗi tổ chức là không được kiểm soát, đây là con số đủ để gióng lên hồi chuông cảnh tỉnh. Vì vậy, một giải pháp bảo mật API toàn diện phải bao gồm năng lực khám phá và lập chỉ mục API liên tục, theo thời gian thực.

Hạn chế của WAAP trong bảo mật API

WAAP mang đến lớp bảo vệ đầu tiên trước các cuộc tấn công mạng phổ biến như DDoS, XSS, SQLi hay các lỗi nằm trong danh sách OWASP Top 10. Tuy nhiên, khả năng xác thực lưu lượng API và phát hiện mối đe dọa phức tạp của WAAP còn rất hạn chế.

Các API lừa đảo, bóng ma hoặc xác sống dễ dàng vượt qua WAAP hoặc Gateway, nhất là khi chúng được phát triển để sử dụng nội bộ mà thiếu lớp phòng vệ đầy đủ. Việc một API nội bộ vô tình bị lộ ra internet không còn là chuyện hiếm.

Akamai API Security khắc phục điểm yếu này bằng cách tổng hợp dữ liệu từ nhiều nguồn: WAAP, CDN, gateway, reverse proxy, đám mây, hệ thống container mesh, SIEM... Từ đó đảm bảo phát hiện và theo dõi cả API được phép lẫn không được phép sử dụng.

Vượt ra ngoài khả năng phát hiện truyền thống

Một điểm đặc thù của bảo mật API là rất khó phân biệt giữa một hành vi hợp pháp và hành vi độc hại nếu chỉ nhìn vào một yêu cầu đơn lẻ. WAAP thường thiếu ngữ cảnh để đánh giá đầy đủ nguy cơ, đặc biệt khi logic nghiệp vụ và dữ liệu truy cập rất khác nhau giữa các API. Kết quả là các cuộc tấn công nguy hiểm như BOLA, fuzzing, abuse JSON, du hành thời gian bất khả thi... dễ dàng trà trộn vào lưu lượng hợp pháp và bị bỏ sót.

Akamai API Security giải quyết bằng hai phương pháp cốt lõi:

• Ngữ cảnh hóa hành vi API: Xác định ai, cái gì, khi nào, vì sao một API được gọi, từ đó phát hiện các truy cập bất thường dù yêu cầu có thể giống nhau về hình thức.
• Phân tích hành vi và học máy: Xây dựng đường cơ sở hành vi API hợp pháp và phát hiện các bất thường, ngay cả khi WAAP không thể phân biệt bằng cách quan sát từng yêu cầu riêng lẻ.

Câu chuyện thành công từ thực tế

Một nhà bán lẻ điện tử lớn tại châu Âu: Doanh nghiệp mở rộng API nhanh chóng mà không có chiến lược kiểm soát. Akamai API Security giúp khám phá API toàn diện và phát hiện ngay các rủi ro bảo mật quan trọng. Từ đó, triển khai bảo vệ quy mô lớn, xử lý hàng tỷ yêu cầu mỗi tháng.

Một liên hiệp tín dụng lớn tại Hoa Kỳ: Với chiến lược API-first, tổ chức này cần kiểm kê và bảo vệ API liên tục. Akamai API Security dễ dàng tích hợp với MuleSoft và Splunk, cung cấp cảnh báo thông minh, tự động hóa phản hồi và bảo vệ API theo thời gian thực.

Kết luận

API là nền tảng vận hành hiện đại, nhưng cũng là điểm yếu bị khai thác nhiều nhất nếu không được bảo vệ đúng cách. Akamai API Security cung cấp khả năng hiển thị toàn diện hệ sinh thái API, phát hiện lạm dụng, và ngăn chặn tấn công tinh vi vượt ngoài phạm vi WAAP truyền thống. Đó là giải pháp bảo mật chủ động, giúp bạn bảo vệ tài sản số trước những mối đe dọa API ngày càng khó lường.

Nguồn: Beyond the Edge: Complementing WAAP with Always-On API Security