top of page

การวางแผนความปลอดภัยของ API


วางแผนความปลอดภัยของ API

การวางแผนเพื่อความปลอดภัยเมื่อพัฒนา API เป็นสิ่งสำคัญ เนื่องจาก API มักถูกใช้เพื่อเข้าถึงข้อมูลที่องค์กรมีอยู่ รวมถึงข้อมูลที่มีความละเอียดอ่อน เพื่อส่งข้อมูลไปยังระบบอื่น ๆ ที่ต้องการข้อมูลเหล่านั้นไปใช้งาน ซึ่งหาก API ไม่ได้ถูกวางแผนให้มีความปลอดภัยอย่างเพียงพอ จะส่งผลกระทบอย่างมากต่อองค์กร และลูกค้า โดยเป็นการเพิ่มความเสียงต่อการถูกคุมคามทางไซเบอร์ (Cyber threats) อาทิ ถูกละเมิดข้อมูล ถูกละเมิดข้อมูลส่วนบุคคล ถูกนำข้อมูลไปใช้โดยไม่ได้รับอนุญาต เป็นต้น


ดังนั้นองค์กรที่มีการพัฒนา API ควรวางแผนความปลอดภัยของ API อย่างเหมาะสม ซึ่งจะช่วยในการระบุและลดความเสี่ยงต่าง ๆ ที่อาจจะเกิดขึ้นก่อนถูกผู้ไม่ประสงค์ดีโจมตีได้


การวางแผนรักษาความปลอดภัยของ API ก่อนที่จะพัฒนาจนเสร็จนั้นจะช่วยประหยัดค่าใช้จ่ายกว่าการแก้ไขปัญหาหลังจากเกิดเหตุการณ์คุมคามทางไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นค่าใช้จ่ายทางตรงในการพัฒนาระบบความปลอดภัยเพิ่มเติม และค่าใช้จ่ายทางอ้อมในการออกข่าวสร้างความเชื่อมั่นของลูกค้าให้กลับคืนอีกครั้ง



ขั้นตอนพื้นฐานในการวางแผนความปลอดภัยของ API

ขั้นตอนพื้นฐานในการวางแผนความปลอดภัยของ API


การวางแผนความปลอดภัยของ API นั้นขึ้นอยู่กับการวางโครงสร้าง API ของแต่ละองค์กร และจุดเสี่ยงที่อาจจะเกิดขึ้นที่แต่ละองค์กรนั้นมีไม่เหมือนกัน


ขั้นตอนการวางแผนความปลอดภัยของ API ที่สามารถนำเล่าให้จึงเป็นเพียงขั้นตอนพื้นฐานที่แต่ละองค์กรต้องนำไปปรับใช้ให้เหมาะสม ซึ่งมีขั้นตอนพื้นฐานในการวางแผนความปลอดภัยของ API ดังนี้


API risk assessment

1. การประเมินความเสี่ยง

ระดมความคิดเพื่อระบุจุดที่มีความเสี่ยง จุดที่อาจจะเป็นช่องโหว่ของ API รวมถึงประเมินความเสี่ยงของแต่ละจุดว่ามีความเสี่ยงมากน้อยเพียงใด และจัดเป็นความสำคัญสำหรับทีมในการพัฒนาป้องกันและแก้ไข


API specification

2. การกำหนดข้อกำหนด

การทำเอกสารเพื่อระบุข้อกำหนดต่าง ๆ ทางด้านความปลอดภัยของ API เพื่อให้ทีมพัฒนาสามารถเข้าใจตรงกัน อาทิ ข้อกำหนดเกี่ยวกับการพิสูจน์ตัวตน ข้อกำหนดเกี่ยวกับการอนุญาต ข้อกำหนดเกี่ยวกับการเข้ารหัส และข้อกำหนดเกี่ยวกับการตรวจสอบความถูกต้องของข้อมูล


Design of security measures for API

3. การออกแบบมาตรการรักษาความปลอดภัย

ทีมต้องมีการประชุมเพื่อเลือกมาตรการรักษาความปลอดภัย และเทคโนโลยีความปลอดภัยที่จะใช้ ซึ่งต้องเหมาะสมกับความต้องการของฝั่งธุรกิจ และวิสัยทัศย์ขององค์กร เช่น การเลือกโปรโตคอลในการเข้ารหัส การเลือกเทคโนโลยีในการตรวจสอบความถูกต้องของข้อมูล และการเลือกเทคโนโลยีในการทบสอบระบบ API เพื่อปรับปรุงจุดที่ยังมีช่องโหว่


Control API risk

4. การใช้มาตรการรักษาความปลอดภัย

ในส่วนของมาตรการรักษาความปลอดภัยนั้น รวมตั้งแต่การสร้าง ไปจนถึงการทดสอบมาตรการรักษาความปลอดภัยของ API เช่น การตั้งค่าการรับรองความถูกต้อง การกำหนดค่าการเข้ารหัส และการใช้การตรวจสอบข้อมูลขาเข้า (Input)


Creating an Incident Response Plan and data recovery

5. การสร้างแผนการตอบสนองเหตุการณ์ผิดปกติ และการกู้คืนข้อมูล

ปัจจุบันระบบทุกระบบมีความเสี่ยงในการถูกคุมคามทางไซเบอร์ได้ตลอดเวลา การวางแผนความปลอดภัยของ API นั้นจึงควรรวมถึงการเตรียมความพร้อมเพื่อรับมือกับเหตุการณ์ไม่คาดคิด โอกาสในการเกิด ขั้นตอนในการรับมือ และการแก้ไขปัญหารวมถึงข้อมูลที่อาจถูกเข้าถึงจากสถาณการณ์เหล่านั้น


Regular inspection, maintenance and safety testing

6 การตรวจสอบ รักษา และทดสอบความปลอดภัยอย่างสม่ำเสมอ

เทคโนโลยีที่ประกอบกันเป็น API นั้นมีการพัฒนาอย่างต่อเนื่อง ทีมพัฒนา API จึงต้องมีการวางแผนการตรวจสอบ อัปเตท การบำรุงรักษา และทดสอบมาตรการรักษาความปลอดภัยอย่างสม่ำเสมอ ไม่ว่าจะเป็น การตรวจสอบการละเมิดความปลอดภัยและช่องโหว่ การอัปเดตมาตรการรักษาความปลอดภัย และการทดสอบจุดเสี่ยงของ API ด้วยเทคโนโลยีใหม่ ๆ เท่าที่ทำได้ เพื่อให้แน่ใจว่า API ที่ใช้งานอยู่นั้นมีความปลอดภัย


โดยวางแผนในการทดสอบเป็นประจำ อาทิ ทุกเดือน หรือทุกไตรมาส เป็นต้น


Cyber security awareness training

7. การฝึกอบรมความตระหนักด้านความปลอดภัย

ระบบใหม่หากคนในองค์กรไม่มีความเข้าใจในการใช้งาน โดยเฉพาะอย่างยิ่งไม่เข้าใจว่าการใช้งานระบบอย่างปลอดภัยเป็นอย่างไร ถือเป็นภัยเงียบที่ทำให้ระบบมีความเสี่ยงมากขึ้นจากภายในองค์กรโดยไม่รู้ตัว


ดังนั้นองค์กรที่มีการพัฒนา API และวางแผนความปลอดภัยของ API จึงความมีการจัดฝึกอบรมพนักงานที่เกี่ยงข้อง อาทิ ทีมพัฒนา ผู้ดูแลระบบ และผู้ใช้งานของแต่ละแผนก ในแง่ของการใช้งาน ความร่วมมือในการรักษาความปลอดภัย ความสำคัญของการรักษาความปลอดภัย และแนะนำแนวทางในการใช้งาน API ให้ปลอดภัย ซึ่งการจัดอบรมนี้ควรจัดให้มีอย่างสม่ำเสมอเพื่ออัปเดทข้อมูลให้ผู้ที่เกี่ยวข้องได้ทราบเพื่อการใช้งานอย่างถูกต้องและปลอดภัย


7 ขั้นตอนด้านบนนั้นเป็นพื้นฐานในการวางแผนความปลอดภัยของ API ซึ่งทั้ง 7 ขั้นตอนเป็นการทำงานอย่างต่อเนื่อง ต้องมีการตรวจสอบ ทดสอบ ทบทวนอย่างสม่ำเสม เพื่อให้แน่ใจว่า API ขององค์กรที่ใช้อยู่นั้นมีการรักษาความปลอดภัยอย่างดี และมีความปลอดภัยมากที่สุด


API tips from expert

เคล็ดลับจากผู้เชี่ยวชาญ:

ส่วนของ API ที่มักจะมีความเสี่ยงสูงต่อการถูกโจมตี


Authentication and Authorization for API

- การพิสูจน์ตัวตนและการอนุญาต

เนื่องจากการใช้งาน API นั้น จะต้องมีการพิสูจน์ตัวตนเพื่อให้แน่ใจว่าผู้ใช้งานคนนั้นสามารถเข้าถึงข้อมูลหรือได้รับอนุญาตการเข้าถึงข้อมูลขนาดไหน หรือสามารถใช้งานฟังก์ชันใดได้บ้าง


หาก API ถูกพัฒนา หรือมีการรับรองความถูกต้องมีไม่ปลอดภัยนัก จะเกิดความเสียงในการโจมตีได้ง่ายที่สุุด


data validation for API

- การตรวจสอบความถูกต้องของข้อมูล

API เป็นระบบที่ทำให้นักพัฒนาสามารถแลกเปลี่ยนข้อมูลระหว่างกันได้อย่างรวดเร็ว ซึ่งหาก API ตรวจสอบข้อมูลไม่ถูกต้อง อาจจะเสี่ยงต่อการถูกโจมตีอย่างการเขียนสคริปต์ข้ามเว็บไซต์ได้


API which Insecure Infrastructure

- โครงสร้างพื้นฐานที่ไม่ปลอดภัย

โครงสร้างพื้นฐานเป็นสิ่งที่สำคัญในการพัฒนาระบบ การพัฒนา API ก็เช่นกัน หากโครงสร้างพื้นฐานไม่ปลอดภัย ไม่ได้วางแผนความปลอดภัยไว้ หรือแม้กระทั่งการตั้งค่าที่ไม่ถูกต้อง ย่อมมีความเสี่ยงสูงในการถูกโจมตี


API Vulnerabilities

- ช่องโหว่ของระบบ API

เวลาพัฒนาระบบบางครั้งจะเหมือนเส้นผมบังภูเขาที่ทีมพัฒนาไม่เห็นช่องดโหว่ของระบบ API ที่พัฒนา หรือใช้งานอยู่ ซึ่งช่องโหว่เหล่านี้อาจจะเกิดจากการใช้เทคโนโลยีที่ล้าสมัย การพัฒนาต่อจากระบบหรือแอปพลิเคชันเดิมที่มีช่องโหว่อยู่ ทำให้ผู้โจมตีใช้สิ่งเหล่านี้ในการโจมตี APi ของเรา


ซึ่งในปัจจุบันนี้มีระบบ 3rd party ที่สามารถนำมาทดสอบระบบ API ทั้งแบบชั่วคราวและแบบใช้งานต่อเนื่อง ซึ่งจะช่วยให้ทีมสามารถเห็นช่องโหว่เหล่านี้ได้ และอุดช่องโหว่เหล่านี้ก่อนที่จะถูกคุมคามทางไซเบอร์ได้


ทั้งนี้ทั้งนั้นโอกาสในการถูกโจมตีมีได้ตลอดเวลา และเปลี่ยนแปลงไปตามเทคโนโลยีใหม่ ๆ รวมถึงการค้นพบช่องโหว่ต่าง ๆ การตรวจสอบ อัปเดตความปลอดภัยของ API อย่างสม่ำเสมอจึงเป็นสิ่งสำคัญและจำเป็น เพื่อให้แน่ใจว่า API นั้นอยู่ในสภาพที่สามารถทำงานได้อย่างเต็มประสิทธิภาพ และมีความปลอดภัยต่อผู้ใช้งาน



บริษัท เอคซเทนด์ ไอที รีซอร์ส จำกัด มีนักพัฒนา API ที่มีความเชี่ยวชาญ มีประสบการณ์ในการ implement ให้กับองค์กรขนาดกลางและขนาดใหญ่จำนวนมากในอุตสาหกรรมธนาคาร (FSI) รีเทล (Retail) และ สุขภาพ (Health) หากองค์กรท่านต้องการรับคำปรึกษาในการวาง implement strategy การวางโครงสร้าง การพัฒนา API รวมถึงการดูแลรักษา API และการวางแผนความปลอดภัยของ API สามารถติดต่อมาได้ที่
☎️: 02-693-1989
✉️: Sales@extend-it-resource.com

207 views0 comments

Коментарі


bottom of page