Keamanan API di era AI: Tantangan dan solusi untuk mencegah serangan

Saat dunia merangkul kekuatan transformatif kecerdasan buatan (AI), sangat penting untuk mengenali peran integral yang dimainkan antarmuka pemrograman aplikasi (API) dalam ekosistem ini. Presentasi Chuck Herrin dari F5 menyoroti saling ketergantungan antara AI dan API, menekankan perlunya tindakan keamanan yang kuat di tengah perlombaan untuk pengembangan AI. Dengan bisnis yang semakin bergantung pada API untuk membangun sistem AI, potensi kerentanan dan serangan meningkat, menuntut pendekatan keamanan proaktif dan komprehensif.

Di Indonesia, adopsi protokol RPC dan SOAP yang menonjol menimbulkan tantangan keamanan yang unik. Protokol ini sering kali bergantung pada keamanan jaringan, membuat mereka rentan terhadap miskonfigurasi dan potensi eksploitasi. Selain itu, penggunaan ekstensif Composite API dan Internal API menyebabkan masalah Konsumsi Sumber Daya Tanpa Batas, menyoroti perlunya mekanisme pengelolaan sumber daya yang kuat. Kerentanan Server-Side Request Forgery (SSRF) juga muncul karena penggunaan protokol RPC dan REST yang meluas, menekankan pentingnya validasi URL yang disuplai pengguna yang cermat.

Sementara perusahaan-perusahaan di Indonesia memprioritaskan kontrol akses, pengujian keamanan, dan perlindungan runtime untuk keamanan API, banyak solusi keamanan yang ada terbukti pasif dan tidak efektif dalam mencegah serangan. Pendekatan F5, yang mengintegrasikan keamanan langsung ke dalam solusi, menawarkan alternatif yang lebih kuat dibandingkan dengan mengandalkan API gateway terpisah. Dengan mengintegrasikan keamanan ke dalam fondasi infrastruktur AI, organisasi dapat secara proaktif mengurangi risiko dan memastikan postur keamanan yang kuat.

Visibilitas adalah tantangan mendasar lainnya dalam keamanan API. Banyak perusahaan hanya berfokus pada keamanan tepi (edge security), mengabaikan pentingnya mengidentifikasi semua permukaan serangan yang potensial. Analisis lalu lintas eksternal dan analisis kode diperlukan untuk mengungkap endpoint API dan mengungkap titik buta. Meskipun pemindaian berbasis kode umum terjadi, banyak yang berfokus pada pengujian keamanan tradisional daripada penemuan API, berpotensi meninggalkan endpoint yang tidak terdeteksi dan rentan.

API gateway banyak digunakan, tetapi mereka memiliki keterbatasan dalam memberikan perlindungan komprehensif terhadap serangan API, khususnya yang melibatkan Broken Object Level Authorization (BOLA). API gateway tidak dapat menafsirkan logika bisnis untuk menetapkan objek ke endpoint, sehingga ketergantungan yang berlebihan pada API berisiko. Pendekatan keamanan yang berlapis-lapis, yang menggabungkan berbagai langkah-langkah perlindungan, sangat penting untuk mengatasi keterbatasan API gateway dan memastikan keamanan aplikasi AI yang kuat.

Efektivitas keamanan API sangat bergantung pada kolaborasi di seluruh tim IT yang berbeda. Tim keamanan, tim jaringan, dan pengembang harus menyelaraskan upaya mereka dan berbagi pengetahuan untuk mengidentifikasi dan mengurangi kerentanan secara efektif. Meskipun alat dan teknologi dapat membantu menjembatani kesenjangan, mengatasi masalah manusia dan proses yang mendasar sangat penting untuk meningkatkan postur keamanan secara keseluruhan. Mencoba memperbaiki masalah organisasi yang mendasar dengan teknologi saja sering kali menghasilkan hasil yang tidak memuaskan.

Adopsi AI terjadi dengan kecepatan yang belum pernah terjadi sebelumnya, dengan bisnis secara aktif mengintegrasikan AI ke dalam lingkungan produksi mereka. Namun, investasi dalam keamanan sering kali tertinggal, menyebabkan ketidakseimbangan yang signifikan. Dengan lebih dari 50% aplikasi yang diperkirakan akan mengintegrasikan AI dalam berbagai bentuk, perlindungan yang kuat sangat penting. F5 memainkan peran penting dalam infrastruktur AI, mengelola lalu lintas, perutean, dan penyeimbangan beban untuk cluster GPU yang sangat besar, memastikan kinerja dan keamanan dalam skala besar.

Untuk mengatasi ancaman yang muncul seperti pencurian model dan serangan transfer model, F5 telah memperkenalkan AI gateway. Serangan ini mengeksploitasi cara kerja machine learning yang mendasar, yang berpotensi menyebabkan kehilangan kekayaan intelektual yang berharga dan manipulasi hasil AI. Dengan menerapkan otentikasi yang kuat, pembatasan kecepatan, dan AI gateway, organisasi dapat mendeteksi dan mengurangi ancaman ini secara efektif, melindungi aplikasi AI mereka dari potensi kerusakan.