Essay BD303 Hash

Nama : Sultan Chairul

Nim : 2581484737

Essay :

1. Celah API vs. Enkripsi

Enkripsi bertugas menyandikan data agar tidak bisa dibaca pencuri. Namun, API adalah (pintu resmi) yang memegang kunci untuk membuka sandi tersebut demi kenyamanan pengguna. Jika pintu API tidak dijaga /semisalnya tidak ada batasan jumlah permintaan, penyerang tidak perlu membobol enkripsi; mereka cukup berpura-pura menjadi tamu dan meminta data secara terus menerus hingga terjadi kebocoran massal.

2. Mengapa Kontrol Akses Mutlak Diperlukan?

Enkripsi tanpa kontrol akses ibarat memiliki brankas baja tercanggih namun membiarkan kuncinya tergantung di pintu.

Kegagalan otorisasi: Sistem mungkin mengenali siapa Anda, tapi lupa membatasi apa yang boleh Anda ambil.

Resiko: ketika kontrol akses gagal, data yang sudah didekripsi oleh sistem akan langsung tersedia kepada pihak yang tidak berwenang atau yang tidk memiliki hak.

3. Strategi Pencegahan Terpadu

Untuk mengamankan data, langkah berikut yang dapat dilakukan yaitu :

Rate Limiting: membatasi kecepatan akses agar tidak ada akun yang bisa mengambil data dalam jumlah tidak wajar dalam waktu singkat.
Prinsip Least Privilege: Hanya memberikan akses data seminimal mungkin sesuai kebutuhan fitur aplikasi.
Real-time Monitoring: menggunakan sistem deteksi otomatis untuk memantau aktivitas mencurigakan pada endpoint API secara 24/7.

4. Respon Cepat Pasca-Insiden

Jika kebocoran terdeteksi, urutan tindakan yang harus diambil adalah:

Stop the Bleeding: menonaktifkan sementara API atau fitur yang bermasalah untuk menghentikan aliran keluar data.
Audit & Scope: Identifikasi akun mana saja yang terdampak dan jenis informasi maupun data apa yang bocor.
Reset Akses: Cabut semua token akses yang aktif dan perbarui protokol keamanan pada pintu masuk sistem.
Transparansi: Segera informasikan kepada pengguna dan pihak berwenang (pihak pihak yang terdampak atau terkena imbas dari terjadinya hal tersebut) mengenai situasi yang terjadi serta langkah perlindungan yang harus mereka ambil.