Nama : Dimas Rizki Wibowo
NIM : 2581485605
- API yang tidak aman memungkinkan akses tidak sah ke data. Enskripsi melindung data saat disimpan atau ditransmisikan,tetapi API yang tidak diamankan dengan baik dapat memberikan akses langsung ke data yang tidak terenskripsi di memori aplikasi atau sebelum enskripsi diterapkan. penyerang dapat menyalahgunakan fungsionalitas API untuk mengekstrak data secara legal melalui permintaan API yang sah, melewati perlindungan enskripsi.
- Enskripsi tidak efektif jika akses tidak sah diizinkan, itu karena enskripsi dirancang untuk melindung kerahasiaan data dari akses fisik atau intersepsi jaringan, namun, jika kontrol akses dan otorisasi gagal, penyerang dapat memperoleh kredensial yang valid atau menyalahgunakan izin yang ada untuk mengakses data yang dideskripsi secara sah melalui aplikasi atau API. dalam skenario tersebut, enskripsi menjadi tidak relevan karena penyerang beroperasi sebagai pengguna sah
- Langkah pencegahan meliputi otentikasi kuat,otorisasi granular, dan pemantauan API
– Otentikasi dan otorisasi : Menerapkan otentikasi yang kuar dan otorisasi berbasi peran dengan prinsip least privilege, memastikan pengguna hanya memiliki akses ke data yang benar-benar dibutuhkan.
– Validasi input : Memvalidasi semua input API untuk mencegah serangan injeksi atau penyalahgunaan fungsi
– Pembatasan laju : Membatasi jumlah permintaan API untuk mencegah penyalahgunaan otomatis atau serangan brute force
– Audit dan pemantauan : Melakukan audit keamanan rutin dan memantau log akses API untuk mendeteksi aktivitas mencurigakan secara dini - Langkah respon insiden awal berfokus pada penahanan dan investigasi, yang meliputi beberapa bagian seperti
– Penahanan
– Investigasi
– Pemberitahuan
– Remediasi
