ช่องทางชำระเงินย่อยเพื่อความเป็นส่วนตัวสำหรับดีวีพีเอ็น
TL;DR
ปัญหาที่บานปลายของเอพีไอที่ไร้การบันทึกข้อมูล
คุณเคยรู้สึกไหมว่าทีมพัฒนาของคุณทำงานเร็วมากจนทิ้งร่องรอยดิจิทัลไว้เบื้องหลังเต็มไปหมด? นี่คือสถานการณ์คลาสสิกของ "ส่งงานก่อน แล้วค่อยทำเอกสารทีหลัง" แต่ปัญหาคือ "ทีหลัง" มักจะไม่มีอยู่จริง
ความเป็นจริงที่น่ากังวลคือ ทีมรักษาความปลอดภัยส่วนใหญ่กำลังทำงานแบบสุ่มเสี่ยง จากผลสำรวจสถานะความปลอดภัยของแอปพลิเคชันปีสองพันยี่สิบสี่โดยสแต็กฮอว์ก พบว่ามีเพียงร้อยละสามสิบของทีมเท่านั้นที่มั่นใจว่าพวกเขาสามารถมองเห็นช่องโหว่ทั้งหมดของระบบได้ นั่นหมายความว่ามีช่องว่างขนาดใหญ่ที่ ชาโดว์เอพีไอ หรือจุดเชื่อมต่อที่มีตัวตนอยู่จริงแต่ไม่ได้ถูกระบุไว้ในเอกสารทางเทคนิค กำลังแฝงตัวอยู่
- เน้นความเร็วมากกว่าความปลอดภัย: นักพัฒนาที่อยู่ภายใต้ความกดดันมักจะสร้างเอพีไอชั่วคราวเพื่อใช้ในการทดสอบ แล้วก็... เผลอปล่อยทิ้งไว้โดยไม่ปิดการใช้งาน
- การเลี่ยงตัวตรวจสอบ: เนื่องจากเอพีไอเหล่านี้ไม่ใช่ระบบ "ทางการ" พวกมันจึงมักจะหลุดรอดจากการตรวจสอบความถูกต้องของสิทธิ์หรือการจำกัดปริมาณการใช้งานตามมาตรฐาน
- ข้อมูลรั่วไหล: จุดเชื่อมต่อที่ถูกลืมในแอปพลิเคชันซื้อขายสินค้าอาจยังคงเข้าถึงข้อมูลส่วนบุคคลของลูกค้าได้ ซึ่งเสี่ยงต่อการถูกโจมตีด้วยวิธี ไอดอร์ (นั่นคือการอ้างอิงวัตถุโดยตรงที่ไม่ปลอดภัย ซึ่งเป็นรูปแบบหนึ่งของการละเมิดการมอบอำนาจในระดับวัตถุ ที่ผู้ใช้สามารถเข้าถึงข้อมูลของผู้อื่นได้เพียงแค่สุ่มรหัสทรัพยากร)
จากประสบการณ์ตรง ผมเคยเห็นจุดเชื่อมต่อรุ่นเก่าที่ยังคงทำงานอยู่เป็นเวลาหลายเดือนหลังจาก "การย้ายระบบ" เสร็จสิ้นไปแล้ว ซึ่งมันเป็นเรื่องที่ยุ่งยากและอันตรายมาก ต่อไปเราจะมาดูกันว่าเราจะตามหา "เอพีไอผี" เหล่านี้ได้อย่างไร
ความแตกต่างระหว่าง เอพีไอเงา เอพีไอซอมบี้ และเอพีไอเถื่อน
ลองจินตนาการว่าโครงสร้างระบบ เอพีไอ (API) ของคุณเหมือนกับบ้านที่คุณอาศัยมานานนับสิบปี คุณรู้จักประตูหน้าบ้านและหน้าต่างทุกบานเป็นอย่างดี แต่แล้วช่องทางเดินแคบๆ ใต้ถุนบ้านที่เจ้าของคนเดิมลืมบอกไว้ล่ะ?
ในโลกของความปลอดภัยทางไซเบอร์ เรามักจะเหมารวมทุกอย่างว่าเป็น "เอพีไอเงา" (Shadow APIs) แต่นั่นเป็นการมองที่ผิวเผินเกินไป หากคุณต้องการแก้ไขปัญหาความวุ่นวายนี้อย่างจริงจัง คุณจำเป็นต้องรู้ก่อนว่า "วิญญาณร้าย" ที่คุณกำลังตามล่าอยู่นั้นเป็นประเภทไหน
- เอพีไอเงา (Shadow APIs - สิ่งที่ไม่ตั้งใจให้เกิด): ส่วนใหญ่เกิดจากความผิดพลาดโดยไม่เจตนา เช่น นักพัฒนาในสตาร์ทอัพด้านสุขภาพสร้างจุดเชื่อมต่อ (Endpoint) ขึ้นมาอย่างรวดเร็วเพื่อทดสอบพอร์ทัลผู้ป่วยใหม่ แต่ดันลืมบันทึกข้อมูลลงในเอกสารกำกับ ระบบนี้ใช้งานได้จริง เชื่อมต่ออยู่จริง แต่ไม่มีใครรับรู้ในสารบบขององค์กร
- เอพีไอซอมบี้ (Zombie APIs - สิ่งที่ถูกลืม): นี่คือเวอร์ชัน "คืนชีพ" ของระบบเก่า ลองนึกภาพแอปพลิเคชันทางการเงินที่อัปเกรดจาก เวอร์ชัน 1 เป็น เวอร์ชัน 2 เมื่อปีที่แล้ว ทุกคนย้ายไปใช้ระบบใหม่หมดแล้ว แต่ระบบ เวอร์ชัน 1 ยังคงรันอยู่บนเซิร์ฟเวอร์ที่ไหนสักแห่ง โดยไม่มีการอัปเดตแพตช์ความปลอดภัย และกลายเป็นช่องโหว่ชั้นดีให้กับการโจมตีแบบสุ่มรหัสผ่าน (Credential Stuffing)
- เอพีไอเถื่อน (Rogue Endpoints - สิ่งที่มุ่งร้าย): นี่คือสิ่งที่น่ากลัวที่สุด เพราะมันคือประตูหลัง (Backdoor) ที่ถูกสร้างขึ้นอย่างจงใจโดยพนักงานที่ทุจริตหรือผู้ไม่หวังดี เพื่อข้ามผ่านระบบป้องกันหลักและลักลอบนำข้อมูลออกไปจากระบบ
จากข้อมูลของนักวิจัยที่ Edgescan พบว่าช่องโหว่ของ เอพีไอ เพิ่มสูงขึ้นถึง 25% ในปี 2023 เพียงปีเดียว ซึ่งเป็นการตอกย้ำแนวโน้มความเสี่ยงที่ทำลายสถิติเดิมในทุกๆ ปี นี่ไม่ใช่แค่การเพิ่มขึ้นเพียงเล็กน้อย แต่มันคือการระเบิดของความเสี่ยงอย่างเต็มรูปแบบ
พูดกันตามตรง การตรวจพบ เอพีไอซอมบี้ ในระบบค้าปลีกรุ่นเก่าให้ความรู้สึกเหมือนเจอระเบิดเวลาที่กำลังนับถอยหลัง คุณคงไม่อยากรอให้เกิดการรั่วไหลของข้อมูลก่อนแล้วค่อยมารู้ตัวว่าระบบ เวอร์ชัน 1.0 ยังคงเชื่อมต่อกับฐานข้อมูลหลักของคุณอยู่
แล้วเราจะจัดการกับปัญหาที่มองไม่เห็นเหล่านี้ได้อย่างไร? มาทำความรู้จักกับเครื่องมือในการค้นหาและตรวจสอบระบบกันครับ
วิธีค้นหาสิ่งที่คุณไม่รู้ว่ามีตัวตนอยู่
เคยลองหาถุงเท้าข้างที่หายไปในตะกร้าผ้าที่ดูเหมือนหลุมดำไหม? นั่นแหละคือความรู้สึกของการไล่ล่าหาจุดเชื่อมต่อเครือข่ายที่ไม่มีการบันทึกไว้ (Undocumented Endpoints) ต่างกันตรงที่ถุงเท้าข้างนั้นอาจกลายเป็นประตูลับที่เปิดไปสู่ฐานข้อมูลของคุณได้เลยทีเดียว
หากคุณไม่อยากทำงานแบบสุ่มเสี่ยง คุณมีวิธีหลักสองทางในการตามล่าหาพวกมัน วิธีแรกคือ การตรวจสอบทราฟฟิก (Traffic Monitoring) โดยพื้นฐานแล้วคุณต้องไปคอยเฝ้าดูสายสัญญาณและสังเกตว่ามีอะไรวิ่งผ่านเกตเวย์ของคุณบ้าง เครื่องมืออย่าง เอพิจี (Apigee) นั้นยอดเยี่ยมมากสำหรับงานนี้ เพราะช่วยให้คุณตรวจสอบทราฟฟิกและเหตุการณ์ด้านความปลอดภัยได้โดยไม่ทำให้แอปพลิเคชันของคุณช้าลง วิธีนี้ดีมากสำหรับการดูว่ามีอะไรที่กำลังใช้งานอยู่จริงในขณะนี้ แต่ข้อเสียคือมันจะมองไม่เห็นจุดเชื่อมต่อ "มืด" (Dark Endpoints) ที่จะตื่นขึ้นมาทำงานเพียงเดือนละครั้งตามคำสั่งงานที่ตั้งเวลาไว้ (Cron Job) เท่านั้น
วิธีต่อมาคือ การค้นหาจากซอร์สโค้ด (Code-based Discovery) นี่คือการสแกนพื้นที่เก็บข้อมูลของคุณใน กิตฮับ (GitHub) หรือ บิตบัคเก็ต (Bitbucket) เพื่อดูว่าเหล่านักพัฒนาได้กำหนดเส้นทาง (Routes) ไว้ที่ไหนบ้าง ตามที่ สแต็กฮอว์ก (StackHawk) ได้ระบุไว้ การสแกนโค้ดช่วยให้คุณพบจุดเชื่อมต่อเหล่านี้ ก่อน ที่พวกมันจะถูกนำไปใช้งานจริงบนระบบโปรดักชันเสียด้วยซ้ำ
- บันทึกทราฟฟิก (Traffic Logs): เหมาะที่สุดสำหรับการดูการใช้งานจริงในโลกภายนอก และตรวจจับความผิดปกติที่พุ่งสูงขึ้นในแอปพลิเคชันกลุ่มสุขภาพหรือการค้าปลีก
- การวิเคราะห์โค้ดแบบสแตติก (Static Analysis): ค้นหาเส้นทางที่ซ่อนอยู่ในซอร์สโค้ดซึ่งอาจไม่ได้ถูกเรียกใช้งานมานานหลายเดือน
- ชัยชนะแบบไฮบริด (The Hybrid Win): พูดกันตามตรง การใช้ทั้งสองวิธีควบคู่กันคือทางออกเดียวเท่านั้น เพื่อให้ได้ผลลัพธ์ที่ดีที่สุด คุณต้องมี บัญชีรายชื่อเอพีไอ (API Inventory) หรือแค็ตตาล็อกกลางที่รวมข้อมูลจากทั้งทราฟฟิกและโค้ดเข้าด้วยกัน เพื่อให้คุณมีแหล่งข้อมูลอ้างอิงที่ถูกต้องเพียงหนึ่งเดียว
จากรายงานของ เวอไรซอน (Verizon) พบว่าการละเมิดข้อมูลที่เกี่ยวข้องกับเอพีไอกำลังพุ่งสูงขึ้นอย่างรวดเร็ว เนื่องจากผู้โจมตีเปลี่ยนเป้าหมายจากเว็บแอปพลิเคชันแบบดั้งเดิม (รายงานการสอบสวนการละเมิดข้อมูลปี 2024 (DBIR) - เวอไรซอน) หากคุณไม่ตรวจสอบทั้งทราฟฟิกและโค้ด ก็เท่ากับว่าคุณเปิดหน้าต่างหลังบ้านทิ้งไว้โดยไม่ได้ล็อก
คุณไม่สามารถทำเรื่องนี้ด้วยตัวเองได้ ผมเคยเห็นทีมที่พยายามจดบันทึกเอพีไอลงในสเปรดชีต ซึ่งมันจะกลายเป็นหายนะภายในเวลาไม่เกินสองวัน คุณจำเป็นต้องเชื่อมต่อระบบการค้นหาเข้ากับกระบวนการพัฒนาและส่งมอบซอฟต์แวร์ (CI/CD Pipeline) โดยตรง
เมื่อมีจุดเชื่อมต่อใหม่ปรากฏขึ้น เครื่องมืออย่าง เอพีไอเซ็ก (APIsec.ai) สามารถจัดทำแผนที่โดยอัตโนมัติและแจ้งเตือนหากจุดนั้นมีการจัดการข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลระบุตัวตนบุคคล (PII) หรือข้อมูลบัตรเครดิต ซึ่งถือเป็นเรื่องสำคัญมากสำหรับทีมการเงินหรืออีคอมเมิร์ซที่ต้องปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูลบัตรชำระเงิน (PCI Compliance)
เมื่อคุณพบ "วิญญาณ" เหล่านี้แล้ว คุณต้องจัดการกับพวกมัน ในหัวข้อถัดไป เราจะเจาะลึกถึงวิธีการทดสอบจุดเชื่อมต่อเหล่านี้อย่างมีประสิทธิภาพโดยไม่ทำให้ระบบพังลงมา
เทคนิคการทดสอบขั้นสูงสำหรับเอพีไอสมัยใหม่
การค้นพบเอพีไอที่ไม่มีเอกสารกำกับเป็นเพียงจุดเริ่มต้นเท่านั้น ความท้าทายที่แท้จริงคือการพิสูจน์ว่าระบบนั้นมีความปลอดภัยเพียงพอหรือไม่ เครื่องมือสแกนมาตรฐานทั่วไปมักจะตรวจจับได้เฉพาะช่องโหว่พื้นฐาน แต่ส่วนใหญ่มักจะไปไม่เป็นเมื่อเจอกับตรรกะที่ซับซ้อนของเอพีไอในปัจจุบัน
หากคุณต้องการความมั่นใจในความปลอดภัยของระบบอย่างแท้จริง คุณต้องก้าวข้ามการสุ่มทดสอบข้อมูลแบบพื้นฐาน เพราะการรั่วไหลของข้อมูลส่วนใหญ่มักเกิดจากความผิดพลาดทางตรรกะ ไม่ใช่แค่การลืมอัปเดตแพตช์ซอฟต์แวร์
- การละเมิดการเข้าถึงข้อมูลในระดับวัตถุ (BOLA - Broken Object Level Authorization): นี่คือสุดยอดช่องโหว่ของเอพีไอที่พบได้บ่อยที่สุด ตัวอย่างเช่น เมื่อคุณเปลี่ยนรหัสไอดีในที่อยู่เว็บ จาก
/user/123เป็น/user/456แล้วเซิร์ฟเวอร์ดันส่งข้อมูลของผู้อื่นมาให้เฉยๆ เครื่องมืออัตโนมัติส่วนใหญ่มักจะพลาดจุดนี้เพราะพวกมันไม่เข้าใจ "บริบท" ว่าใครควรมีสิทธิ์เห็นข้อมูลชุดไหน - การกำหนดค่าข้อมูลแบบเหมาเข่ง (Mass Assignment): ผมเคยเห็นกรณีที่ทำให้ระบบชำระเงินของแอปพลิเคชันค้าปลีกพังพินาศมาแล้ว เพียงเพราะนักพัฒนาลืมกรองข้อมูลขาเข้า ทำให้ผู้ใช้งานสามารถแอบส่งฟิลด์ซ่อนเร้นอย่าง
"is_admin": trueเข้าไประหว่างการอัปเดตข้อมูลส่วนตัวได้ - ข้อบกพร่องทางตรรกะทางธุรกิจ (Business Logic Flaws): ลองนึกถึงแอปพลิเคชันทางการเงินที่คุณลองโอนเงินด้วย "ยอดติดลบ" ดูสิ ถ้าเอพีไอไม่ได้ตรวจสอบความถูกต้องของตัวเลขให้ดี คุณอาจจะกลายเป็นว่าได้เงินเพิ่มเข้ามาในบัญชีแทนที่จะเสียเงินไป
เอาเข้าจริง การตรวจจับช่องโหว่ที่ "ซับซ้อน" เหล่านี้คือเหตุผลที่หลายทีมเริ่มหันไปใช้บริการเฉพาะทาง Inspectiv เป็นตัวอย่างที่น่าสนใจ เพราะเป็นการรวมพลังระหว่างการทดสอบโดยผู้เชี่ยวชาญและการบริหารจัดการโครงการล่าเงินรางวัลจากบั๊ก เพื่อค้นหาจุดบกพร่องในกรณีพิเศษที่บอทไม่มีวันตรวจเจอ
อย่างไรก็ตาม การทดสอบความปลอดภัยคือกระบวนการที่ต้องทำอย่างต่อเนื่อง ไม่ใช่ทำครั้งเดียวจบ ในหัวข้อถัดไป เราจะมาดูกันว่าทำไมการจัดระเบียบรายการทรัพยากรเหล่านี้ถึงมีความสำคัญอย่างยิ่งต่อทีมกฎหมายและทีมตรวจสอบการปฏิบัติตามข้อกำหนดของคุณ
การปฏิบัติตามกฎระเบียบและมุมมองในเชิงธุรกิจ
คุณเคยลองอธิบายให้คณะกรรมการบริหารฟังไหมว่า ทำไมจุดเชื่อมต่อเครือข่ายที่ "ไม่มีตัวตน" ถึงเป็นสาเหตุให้บริษัทต้องโดนค่าปรับมหาศาล? นั่นไม่ใช่บทสนทนาที่น่าอภิรมย์เลย โดยเฉพาะอย่างยิ่งเมื่อเหล่าผู้ตรวจสอบบัญชีเริ่มขุดคุ้ยรายการซอฟต์แวร์เฉพาะทางที่คุณติดตั้งไว้ในระบบ
การปฏิบัติตามกฎระเบียบ (Compliance) ในปัจจุบันไม่ใช่แค่การติ๊กถูกในช่องว่างอีกต่อไป แต่มันคือการพิสูจน์ให้ได้ว่าคุณรู้จริงๆ ว่ามีอะไรกำลังรันอยู่ในโครงสร้างพื้นฐานเบื้องหลังของคุณบ้าง หากคุณมองไม่เห็น คุณก็ป้องกันไม่ได้ และหน่วยงานกำกับดูแลกำลังเข้มงวดกับเรื่องนี้อย่างมาก
- รายการตรวจสอบของผู้ตรวจสอบบัญชี: ภายใต้มาตรฐาน พีซีไอ ดีเอสเอส เวอร์ชัน 4.0.1 (PCI DSS v4.0.1) คุณจำเป็นต้องจัดทำบัญชีรายชื่อซอฟต์แวร์และเอพีไอ (API) ที่พัฒนาขึ้นเองอย่างเข้มงวด หากมีจุดเชื่อมต่อระบบค้าปลีกรุ่นเก่าที่ยังคงจัดการข้อมูลบัตรเครดิตโดยที่ไม่อยู่ในรายการตรวจสอบ นั่นถือว่าสอบตกทันที
- การประมวลผลข้อมูลตามกฎหมาย: ตามข้อบังคับ จีดีพีอาร์ มาตรา 30 (GDPR Article 30) คุณต้องจัดทำเอกสารบันทึกทุกช่องทางที่มีการประมวลผลข้อมูลส่วนบุคคล เอพีไอที่ไม่มีการลงทะเบียนในแอปพลิเคชันด้านสุขภาพหรือการเงินซึ่งทำข้อมูลระบุตัวตนบุคคลรั่วไหล คือตัวดึงดูดค่าปรับจำนวนมหาศาลอย่างดี
- สิทธิประโยชน์ด้านประกันภัย: พูดยันความจริง การมีเอกสารบันทึกขอบเขตการโจมตีทางเอพีไอที่ชัดเจนและสะอาดตา สามารถช่วยลดค่าเบี้ยประกันภัยไซเบอร์ที่สูงลิ่วลงได้ บริษัทประกันย่อมต้องการเห็นว่าคุณมีความสามารถในการควบคุม "การขยายตัวของระบบดิจิทัล" ที่ไร้ทิศทางได้อยู่หมัด
ผมเคยเห็นทีมฟินเทค (Fintech) ต้องหัวหมุนกันเป็นสัปดาห์เพียงเพราะผู้ตรวจสอบไปเจอจุดเชื่อมต่อเวอร์ชัน 1 (v1) ที่ไม่มีใครจำได้ว่ามีอยู่ มันทั้งวุ่นวายและสิ้นเปลืองงบประมาณอย่างมาก อย่างที่ได้กล่าวไปก่อนหน้านี้ การค้นหาสิ่งที่คุณไม่รู้ว่ามีอยู่ คือหนทางเดียวที่จะช่วยให้คุณรับมือกับภาระด้านเอกสารและกฎระเบียบได้อย่างเหนือชั้น
เมื่อเราได้ครอบคลุมถึง "เหตุผล" และความเสี่ยงทางธุรกิจไปแล้ว เรามาปิดท้ายด้วยการมองไปที่อนาคตของเทคโนโลยีการค้นหาและตรวจสอบระบบกันครับ
บทสรุปส่งท้าย
จากข้อมูลทั้งหมดที่กล่าวมา เห็นได้ชัดเจนว่าความปลอดภัยของอินเทอร์เฟซโปรแกรมประยุกต์หรือเอพีไอไม่ใช่แค่ "มีไว้ก็ดี" อีกต่อไป แต่นี่คือด่านหน้าสำคัญที่แอปพลิเคชันส่วนใหญ่มักถูกตรวจสอบและโจมตีโดยผู้ไม่ประสงค์ดี
ตามความเป็นจริงแล้ว คุณไม่สามารถแก้ไขในสิ่งที่คุณมองไม่เห็นได้ ดังนั้นนี่คือวิธีที่ผมแนะนำในการเริ่มจัดการกับระบบดิจิทัลที่กระจัดกระจายของคุณให้เข้าที่เข้าทาง:
- เริ่มสแกนเพื่อค้นหาเอพีไอภายในสัปดาห์นี้: อย่ามัวแต่คิดเยอะ แค่ลองใช้เครื่องมืออัตโนมัติ—เหมือนตัวอย่างที่เราได้คุยกันไป—สแกนหาข้อมูลในคลังเก็บรหัสต้นทางหลักของคุณ คุณอาจจะเจอจุดเชื่อมต่อสำหรับ "ทดสอบ" ตั้งแต่ปี 2023 ที่ยังเปิดใช้งานอยู่ ซึ่งอาจจะทำให้คุณตกใจจนแทบหัวใจวาย แต่มันจะดีกว่ามากถ้าคุณเป็นคนเจอเอง ไม่ใช่คนอื่น
- ฝึกอบรมทีมนักพัฒนาเกี่ยวกับช่องโหว่เอพีไอ 10 อันดับแรกของโอวาสป์ (OWASP API Top 10): วิศวกรส่วนใหญ่ต้องการเขียนรหัสต้นทางให้ปลอดภัยอยู่แล้ว เพียงแต่พวกเขาอาจจะงานยุ่งเกินไป ลองแสดงให้พวกเขาเห็นว่าความบกพร่องของการควบคุมการเข้าถึงระดับออบเจ็กต์ที่พังทลายหรือ โบลา (BOLA) เพียงจุดเดียวสามารถทำให้ข้อมูลลูกค้ารั่วไหลได้ทั้งฐานข้อมูลอย่างไร วิธีนี้จะช่วยให้พวกเขาจดจำได้ดีกว่าการนั่งดูสไลด์ที่น่าเบื่อ
- อย่ารอให้เกิดการเจาะระบบก่อนถึงจะเริ่มขยับตัว: การมานั่งกังวลเรื่องจุดเชื่อมต่อเงาหรือชะโดว์เอพีไอ หลังจากที่ข้อมูลระบุตัวตนบุคคลหลุดไปอยู่ในตลาดมืดแล้ว เป็นบทเรียนที่มีราคาแพงเกินไป การค้นหาเอพีไออย่างต่อเนื่องควรถูกบรรจุอยู่ใน "ข้อกำหนดการทำงานที่เสร็จสมบูรณ์" สำหรับทุกรอบการพัฒนาระบบ
ผมเคยเห็นทีมดูแลระบบสาธารณสุขตรวจพบเอพีไอ "สำหรับนักพัฒนาเท่านั้น" ที่เผลอเปิดเผยระเบียนประวัติคนไข้สู่สาธารณะ เพียงเพราะพวกเขาข้ามขั้นตอนการตรวจสอบสิทธิ์อย่างเป็นทางการไป มันเป็นเรื่องที่น่ากลัวมาก แต่ดังที่เราเห็นจากกรณีของ เอพิจี (Apigee) แพลตฟอร์มสมัยใหม่กำลังทำให้การเฝ้าระวังสิ่งเหล่านี้ง่ายขึ้นมาก โดยไม่ส่งผลกระทบต่อประสิทธิภาพการทำงานของระบบ
ท้ายที่สุดแล้ว ความปลอดภัยของเอพีไอคือการวิ่งมาราธอนที่ต้องทำอย่างต่อเนื่อง เพียงแค่คุณหมั่นตรวจสอบและกำจัดช่องโหว่ที่ซ่อนอยู่ คุณก็จะก้าวหน้าไปไกลกว่าคู่แข่งส่วนใหญ่ในตลาดแล้ว ขอให้ทุกคนปลอดภัยในโลกไซเบอร์ครับ
