Perkembangan Cyber Security Pada Application Programming Interface

Apa itu Cyber Security? Cyber security merupakan sebuah sistem yang melindungi komputer, jaringan, sistem, dan data dari serangan atau akses yang tidak sah. Cyber security yang akan dibahas kali ini adalah Application Programming Interface Security (API). Sebelum masuk ke pembahasan apa itu API? 

Menurut Jason Johl (Product Marketing Manager) dari Perusuhaan MuleSoft, API merupakan perantara perangkat lunak yang dapat menghubungkan antara dua aplikasi dan dapat melakukan akses untuk mengekstrak dan berbagi data. API juga menjadi perantara antar klien dan server, baik pada satu platform yang sama maupun lintas platform, agar bisa saling berkomunikasi. Sebagai contoh ketika ada orang yang ingin Log in ke aplikasi Instagram dengan akun Google, aplikasi Instagram akan memanfaatkan API Gmail sehingga orang tersebut dapat Log in dengan mudah dan cepat.

Teknologi API menjadi sangat populer dan sudah banyak digunakan oleh perusahaan besar. Walaupun teknologi API berkembang sangat pesat, hal ini menjadikan API sebagai sasaran baru untuk penjahat siber. Hal itu dikarenakan, API memiliki banyak data-data yang sensitif dan menjadi portal untuk masuk ke sebuah server. Pada Mei 2019 sampai akhir tahun 2019 target serangan penjahat siber mulai diarahkan ke API. Hal ini diungkapkan langsung oleh perusahaan TI Akamai. Hal tersebut dimaksudkan untuk memotong kabel keamanan sehingga penyerangan ke server lebih mudah. Akamai menyebutkan 75% dari semua serangan sudah ditujukan ke API dan targetnya merupakan industri jasa keuangan.

Menurut Karl Mattson (CISO Noname Security) celah keamanan API terjadi karena adanya beberapa tipikal kesalahan. Contohnya implementasi otentikasi yang kurang tepat, sehingga membuat data sensitif dapat diakses dengan otentikasi sederhana. Karl juga mengatakan bahwa API security masih belum mendapat perhatian sepenuhnya dari perusahaan. 

Keamanan API seringkali dibebankan kepada developer yang belum tentu memiliki skill tentang cyber security yang mumpuni. Harry Adinanta (Cyber Security Director SecLab BDO Indonesia) mengatakan bahwa masalah utama dari keamanan siber di Indonesia adalah minimnya tenaga ahli pada bidang cyber. Pada survei Seclab BDO Indonesia mendapati 9 dari 10 lulusan teknologi memilih untuk menjadi software developer, dan hanya 1 dari 10 yang berminat untuk mendalami cyber security.

Kerentanan API memiliki dampak yang merugikan seperti, pencurian data, pemalsuan identitas, dan serangan Distributed Denial of Service (DDoS) yang berdampak sistem tidak berfungsi. Beberapa jenis kerentanan API yang sering terjadi diantaranya:

• Broken Authentication dan Session Management: Kerusakan autentikasi yang membuat penjahat kriminal dapat mencuri data pengguna serta memalsukan data.
• Injection Laws: Pengguna yang melakukan input data tidak dapat disaring oleh sistem dengan benar. Hal itu akhirnya membuat penjahat dapat menyisipkan kode yang dapat merusak sistem.
• Cross-Site Scripting (XSS): Penjahat dapat mengirimkan script berbahaya dengan cara disisipkan ke dalam halaman web yang ditampilkan API.
• Broken Object Level Authorization: Aplikasi tidak memeriksa hak akses user dengan benar.
• Security Misconfiguration: konfigurasi sistem yang tidak sesuai dengan standar keamanan

            Pada 2019 lalu, salah satu komunitas online di Amerika Serikat mempublikasikan fokus pembenahan API Security yang terbagi dalam 10 materi, yakni:

• API1: 2019 Broken Object Level Authorization: Teknologi API dalam mengidentifiskasi objek dalam pemeriksaan otorisasi yang digunakan untuk masuk ke suatu web, server, dan sebagainya.
• API2: 2019 Broken User Authentication: Materi yang dibahas mengenai pembenahan mekanisme autentikasi agar meminimalisir pencurian data.
• API3: 2019 Excessive Data Exposure: Materi yang dibahas mengenai sistem API yang memperlihatkan data hingga kebagian data paling spesifik.
• API4: 2019 Lack of Resources & Rate Limiting: Materi ini membahas sistem API yang tidak memiliki batasan dalam hal request yang diminta client.
• API5: 2019 Broken Function Level Authentication: Materi ini mengenai control fungsi admin dan fungsi biasa yang tidak jelas sehingga terdapat banyak kesalahan.
• API6: 2019 Mass Assignment: Materi ini membahas tentang data dalam JSON yang di kirim ke tempat yang salah.
• API7: 2019 Security Misconfiguration: Materi ini membahas sistem keamanan pada API yang kurang baik.
• API8: 2019 Injection: Materi ini membahas tentang kerentanan sistem API yang digunakan untuk menginput data oleh pengguna. Pada sistem ini, jika tidak memiliki saringan yang kuat dapat memudahkan penjahat menyisipkan kode atau perintah berbahaya.
• API9: 2019 Improper Assets Management: Materi ini mengenai API yang harus selalu diperbarui agar kinerja yang dimiliki maksimal.
• API10: 2019 Insufficient Logging & Monitoring: Materi ini mengenai sistem API yang harus selalu dipantau agar meminimalisir penyerangan oleh penjahat siber.

Google sebagai perusahaan internet juga memperhatikan tentang pengembangan API security. Google meluncurkan Advanced API Security yang dirancang khusus untuk mendeteksi ancaman keamanan. Advanced API Security memiliki dua tugas utama, yaitu mengidentifikasi konfigurasi API dan mendeteksi bot.

Perkembangan Teknologi API sangatlah membantu manusia di era modern ini. Namun, berkembangnya API juga memiliki dampak buruk. Hal itu disebabkan Teknologi API yang masih memiliki tingkat keamanan yang rendah, sehingga mudah untuk dirusak oleh para penjahat siber. Perusahaan besar sudah seharusnya memperhatikan hal tersebut, serta melakukan pelatihan kepada para programmer untuk menguasai skill cyber security. Hal itu dilakukan agar tingkat keamanan pada API dapat berfungsi dengan maksimal dan terhindar dari serangan illegal yang dilakukan oleh penjahat siber.

DAFTAR PUSTAKA

Ayu, M. G. (2022, Oktober 4). Kurangnya Tenaga Ahli Keamanan Siber Membuat Indonesia dengan Mudah Terkena Serangan Siber. Retrieved from cloudcomputing: https://www.cloudcomputing.id/berita/kurangnya-ahli-membuat-indonesia-terkena-serangan