Akamai: Serangan Web pada API Mengintai Sektor Manufaktur APJ

Akamai Technologies, Inc., perusahaan teknologi cloud yang mendukung dan melindungi kehidupan online, telah merilis laporan State of the Internet (SOTI) yang mengungkapkan risiko besar yang dihadapi oleh sektor manufaktur di kawasan Asia-Pasifik dan Jepang (APJ) akibat serangan web pada API. Dalam laporannya, yang berjudul Lurking in the Shadows: Attack Trends Shine Light on API Threats  (Mengintai dalam Gelap: Tren Serangan Menunjukkan Ancaman API) mencatat bahwa sebanyak 15 persen dari total serangan web di kawasan APJ pada periode Januari hingga Desember 2023 bertujuan pada API.

Sektor Manufaktur APJ Mendominasi Serangan pada API

Menurut laporan Akamai, sektor manufaktur di kawasan APJ menjadi target utama serangan web pada API, mencatatkan hampir sepertiga (31,2 persen) dari seluruh serangan web yang terjadi. Hal ini menunjukkan bahwa produsen di APJ menghadapi risiko besar akibat eksploitasi API oleh para penjahat siber. Dalam kondisi ini, perlindungan yang efektif terhadap API menjadi sangat penting bagi organisasi manufaktur untuk menghindari risiko kebocoran data yang dapat berdampak serius pada operasional mereka.

API: Pentingnya dan Tantangan Keamanannya

API (Application Programming Interface) memainkan peran kunci dalam komunikasi antara perangkat lunak, sistem, dan perangkat lainnya. Di sektor manufaktur, API menjadi aset berharga dengan memungkinkan penggunaan perangkat Internet of Things (IoT) industri untuk meningkatkan efisiensi operasional, mempercepat siklus produksi, dan mengaktifkan pengelolaan pabrik serta inventori secara real-time. Namun, dengan cepatnya inovasi digital dan pertumbuhan ekonomi API, juga muncul tantangan baru dalam bentuk serangan cyber. Kebijakan keamanan yang kurang ketat dapat membuka pintu bagi serangan terhadap produsen di wilayah Asia Pasifik (APJ), yang memiliki dampak yang dapat merembet ke seluruh dunia mengingat peran penting Asia sebagai pusat manufaktur global.

Reuben Koh, Direktur Teknologi dan Strategi Keamanan (APJ) di Akamai, menyatakan “API menjadi semakin penting bagi para organisasi, tetapi hal ini juga memunculkan tantangan untuk melindungi API secara efektif, karena aspek keamanan sering kali tidak dilibatkan secara tepat pada proses pengembangan dan penerapan cepat pada teknologi yang lebih baru seperti API. Seiring dengan meluasnya penggunaan API oleh produsen untuk memungkinkan pemantauan produksi, perawatan prediktif, dan optimasi biaya secara real-time, mereka harus lebih sadar akan risiko yang dihadapi.” 

Temuan Penting dalam Laporan Akamai

Laporan Lurking in the Shadows juga mengungkap beberapa temuan penting terkait serangan web pada API di kawasan APJ:

• Sektor utama yang mengalami serangan web bertarget API dengan persentase tertinggi adalah manufaktur sebesar 31,2%, diikuti gaming sebesar 25,2%, teknologi mutakhir sebesar 24,4%, media video sebesar 24,0%, dan perdagangan sebesar 22,3%.
• Lima wilayah teratas dengan persentase serangan web tertinggi pada API tertinggi adalah Korea Selatan sebesar 47,9%, Indonesia sebesar 39,6%, Wilayah Administrasi Khusus Hong Kong sebesar 38,7%, Malaysia sebesar 26,4%, dan Jepang sebesar 23,4%. Kemudian diikuti oleh India (19,0%), Australia (15,6%), Singapura (5,8%), Filipina (5,5%), dan Selandia Baru (4,8%).
• Di APJ, metode serangan paling umum meliputi Local File Inclusion (LFI) sebesar 16,8%, Server-Side Request Forgery (SSRF) sebesar 11,8%, dan Web Attack Tool (WAT) sebesar 10,4%. Penyerang juga cenderung menggunakan vektor baru, seperti CMDi sebesar 9,1%, yang menekankan bahwa para lawan ini terus menerus mencari metode dan cara baru untuk mengeksploitasi target.
• Penyalahgunaan logika bisnis merupakan masalah penting, karena mendeteksi aktivitas abnormal API tanpa menetapkan garis dasar perilaku API sangatlah menantang. Para organisasi di APJ yang tidak memiliki solusi pemantauan anomali pada aktivitas API memiliki risiko serangan waktu peluncuran seperti pengorekan data — vektor pembobolan data baru yang menggunakan API terotentikasi untuk mengorek data dari dalam secara perlahan.
• Permintaan bot juga menjadi masalah di APJ - hampir setengah dari dua triliun lebih permintaan bot yang mencurigakan menyasar API.
• API juga menjadi pusat dari sebagian besar transformasi digital saat ini, sehingga penting bagi para bisnis di APJ untuk memahami tren industri dan ancaman relevan mereka, seperti serangan penipuan loyalitas, penyalahgunaan, otorisasi, dan carding.
• Para organisasi di APJ perlu memikirkan syarat kepatuhan dan legislasi yang timbul di awal proses strategi keamanan mereka untuk menghindari perlunya pembangunan arsitektur ulang. Contoh dari hal ini meliputi bagian 6 dari Payment Card Industry Data Security Standard (Standar Keamanan Data Industri Kartu Pembayaran/PCI DSS) v4.0 pada standar API yang baru.

Rekomendasi untuk Perlindungan API

Koh menekankan pentingnya merancang dan mendokumentasikan API secara tepat serta memiliki visibilitas yang menyeluruh terhadap tujuan dan risiko yang terkait. Organisasi di kawasan APJ perlu mengikuti panduan industri untuk melindungi API dari kesalahan konfigurasi dan kerentanan baru yang muncul. Langkah-langkah ini menjadi kunci dalam meningkatkan keamanan API seiring dengan penggunaannya yang semakin meluas di seluruh industri.

Dengan ancaman serangan web pada API yang semakin meningkat, terutama di sektor manufaktur di kawasan APJ, perlindungan yang efektif terhadap API menjadi keharusan bagi organisasi. Laporan Akamai ini memberikan wawasan yang berharga dan rekomendasi praktis bagi para pemangku kepentingan untuk memperkuat keamanan API mereka dan mengurangi risiko yang terkait dengan eksploitasi oleh para penjahat siber.