por David Thomason (Diretor da Noname)
Embora muitas empresas agora estejam se concentrando na segurança de API, ainda existem lacunas de segurança significativas. A Pesquisa de Aplicativos Seguros 2021 da Dark Reading destaca que 41% dos entrevistados tratam as APIs da mesma forma que os aplicativos da Web, e apenas 23% dos entrevistados têm um processo dedicado para avaliar a segurança da API.
A falta de maturidade de segurança de API é o motivo pelo qual não é surpreendente que vazamentos e exploits de API sejam manchetes de forma frequente e consistente. Além do amadurecimento do setor, existem vários equívocos e mal-entendidos comuns que estão impedindo as empresas de fechar suas lacunas de segurança de API. Vamos explorar 5 das razões mais comuns pelas quais as empresas falham na segurança da API.
1. Visão Perigosamente Estreita da “Segurança da API”
A segurança da API está fazendo manchetes com jornalistas, analistas e fornecedores de segurança, todos entrando na briga. No entanto, no contexto, a “segurança da API” está quase exclusivamente posicionada na mídia como prevenção de ataques. Sim, ataques cibernéticos de API são muito reais. E todos nós vimos a previsão do Gartner:
“Gartner prevê que até 2022, os ataques de interface de programação de aplicativos (API) se tornarão o vetor de ataque mais frequente…”
As APIs são tão críticas para os negócios hoje que erros de design e configurações incorretas simples podem colocar em risco informações confidenciais e reputações da empresa, como foi o caso da Experian e Peloton. Além disso, esses erros honestos podem ser facilmente explorados por maus atores, expondo até mesmo uma camada mais profunda de risco para a empresa do que um ataque autônomo. Em vez de um atacante romper uma porta trancada, eles podem simplesmente atravessar uma porta aberta.
É necessária uma definição e compreensão mais amplas da segurança da API.
O que é Segurança de API?
A segurança de API refere-se a proteger a integridade do seu ambiente digital contra vulnerabilidades da API, configurações incorretas da API e ataques cibernéticos da API.
Não se trata de proteger suas APIs de um ataque; trata-se de proteger seu ambiente digital e seus dados de todos os riscos associados às APIs. Por mais simples que essa mudança de mentalidade possa parecer, tem implicações significativas nas estratégias, processos e ferramentas de segurança.
2. Ameaça Exponencial de Violação de API
A natureza das APIs é se conectar e se comunicar. Aplicativos, serviços e bancos de dados são conectados por uma ampla malha de APIs. Se uma API estiver comprometida, muitas vezes é difícil identificar quais outras APIs, dados e sistemas poderiam ter sido expostos ou explorados.
A taxa de novas implantações de API excede a capacidade de uma empresa de testar e proteger suas APIs. A cada dia, a superfície de ataque da API cresce e novas configurações incorretas encontram seu caminho para ambientes de produção. Por mais hiperbólico que isso pareça, é a realidade para as organizações empresariais. Sem uma rápida mudança em sua estratégia de segurança de API, é apenas uma questão de tempo até que mais empresas sejam vítimas de vulnerabilidades e ataques de API.
3. Voando às cegas em uma paisagem em constante mudança
“Quantas APIs você tem?” é uma pergunta que a maioria das empresas não pode responder. E se eles responderem com um número específico, provavelmente está errado.
A maioria das unidades de negócios corporativas usa APIs. Muitas equipes desenvolvem APIs. Outras equipes são responsáveis por gerenciar a implantação de APIs. E a segurança é uma responsabilidade compartilhada ou dada a mais uma equipe para resolver. O resultado final é que muitas APIs escorregam pelas rachaduras. As empresas NÃO têm um inventário completo de APIs, e não é incomum que 30% das APIs sejam desconhecidas ou não gerenciadas.
E das APIs conhecidas e gerenciadas, muitas vezes há visibilidade limitada sobre a comunicação e o comportamento das APIs. “Quais APIs são privadas e quais são públicas?” “Quais APIs estão comunicando informações confidenciais, como números de cartão de crédito e números de previdência social?” Muitas empresas têm uma intenção para suas APIs gerenciadas, mas validar o comportamento da API ainda é um processo difícil e demorado.
4. Funcionalidade Limitada de Segurança da API com Ferramentas Tradicionais
A maioria das empresas investiu em WAFs (firewall de aplicativos da web) e gateways de API para proteger seus aplicativos da web e gerenciar suas APIs e ativos de API; no entanto, essas ferramentas por si só são insuficientes para alcançar a segurança da API.
Como afirmado na pesquisa da Dark Reading citada no início deste artigo, 41% das empresas tentam proteger APIs da mesma maneira que protegem aplicativos da web. Os WAFs, por exemplo, são projetados para abordar os 10 principais riscos de segurança de aplicativos da Web nos dez melhores do OWASP. A OWASP, em 2019, lançou o API Security Top Ten, que tem muito pouca sobreposição com o OWASP Top Ten original. Além disso, WAFs e gateways não têm D.A.R.T. Funcionalidade (Descubra, Analisar, Corrigir, Testar) Estratégia de Segurança da API.
WAFs e gateways de API são componentes necessários da pilha de tecnologia de uma empresa, mas precisam ser emparelhados com soluções modernas de segurança de API para identificar configurações incorretas de API e evitar ataques cibernéticos de API.
5. Confusão em torno da propriedade da segurança da API
Com tantas equipes desempenhando um papel na criação, consumo e gerenciamento de APIs, muitas vezes há confusão sobre quais equipes são responsáveis pela segurança da API. É a equipe de desenvolvimento que escreve o código das APIs que é responsável pela segurança? É a equipe da plataforma que implanta e gerencia APIs em gateways e nuvens que é responsável pela segurança? Ou o CISO e sua equipe são responsáveis pela segurança da API?
Cada empresa tem uma estrutura diferente e/ou uma maneira de compartilhar responsabilidades; no entanto, pode ser vagamente definida e mal compreendida. Sem uma estrutura clara de propriedade da segurança da API, as vulnerabilidades de segurança da API continuarão a escapar pelas rachaduras e mais esforço será colocado na mira dos dedos do que na eliminação dos riscos da API.
O que esperar do fornecedor de segurança da API
Existem várias novas soluções de segurança de API que podem ser usadas para ajudar a superar os desafios listados acima. Dê uma consideração extra às soluções de segurança da API que:
- Não use agentes ou sensores — ambientes liderados pela nuvem e liderados por API lutam com soluções em linha. Arquiteturas baseadas em agentes são uma maneira legada de pensar que introduz mais complexidade, desempenho, problemas e risco. A arquitetura fora de banda fornece visibilidade mais profunda e menos atrito operacional.
- Integre-se facilmente com nuvens, WAFs e gateways — uma boa solução de segurança de API deve se conectar à sua infraestrutura existente e aprimorar os recursos de segurança de outros sistemas no ambiente, não competir contra eles.
- Pode ser implantado no local ou como SaaS — certifique-se de ter a opção de implantar no local ou em uma nuvem para que os dados nunca saiam do ambiente, ou como SaaS para que você possa gerenciar várias nuvens e instâncias a partir de um único portal.