Blog

segurança de APIs

O que 2022 nos reserva na segurança de APIs?

Se no ano de 2022 os cibercriminosos mantiverem o ritmo de 2021, teremos muitos eventos relacionados à segurança de APIs, como problemas de vazamento, configurações incorretas, controles de acesso fracos ou quebrados, vulnerabilidades e codificações falhas. O resultado? Exposições e perda de dados, impactos na privacidade, escalonamento de privilégios, execuções remotas de código, entre outros problemas. E quais serão os maiores desafios que vamos enfrentar em relação à segurança de APIs em 2022?

Mais um ataque em grande escala na cadeia de suprimentos

Dois exemplos de ataques à segurança de APIs da cadeia de suprimentos em 2020 e 2021 incluíram o ataque SolarWinds (direcionado ao produto Orion) e o ataque ao Microsoft Exchange Server. A habilitação de API e a integração de API é como as organizações projetam sistemas e formam cadeias de suprimentos digitais modernas.

Os invasores visam APIs de infraestrutura, como as contidas nas ofertas do Exchange e SolarWinds, mas também outros elementos de infraestrutura, como o Kubernetes. Especialistas da Salt Labs identificaram dois outros exemplos com Elastic Stack e Log4j. Muitas organizações ainda lutam para lidar com todas as APIs de clientes e parceiros, sem falar nas APIs de sistema que, em última análise, fazem parte de sua superfície de ataque.

Autenticação ainda é um problema

Autenticação e autorização são componentes principais do Identity and Access Management (IAM) e fundamentais para todos os domínios de segurança. Para 2022, o desafio continua porque:

  • O IAM por si só não é suficiente para abordar todos os aspectos da segurança de APIs, e muitos ataques ocorrem em sessões autenticadas em conexões confiáveis.
  • A implementação de IAM de forma eficaz em serviços próprios e de terceiros em ambientes de computação é tudo, menos simples.

A identidade do usuário não é resolvida de forma eficiente na maioria das organizações, muito menos na identidade e automação da máquina (por exemplo, gerenciamento de segredos), onde um processo da máquina não pode ser desafiado da mesma maneira ou interativamente como um usuário.

Organizações que usem o IAM como única abordagem para a segurança de APIs sofrerão incidentes, apesar dos melhores esforços. Cada organização é única em relação à sua arquitetura geral e casos de uso que complicam ainda mais as coisas. As áreas problemáticas comuns incluem a definição de escopos OAuth muito restritos (de granularidade fina) ou muito amplos (de granularidade grosseira), não levando em consideração APIs internas e externas, limitações do próprio protocolo OAuth, redirecionamentos não validados para terceiros mal-intencionados e balanceamento os trade-offs com vinculação de sessão e impactos na mobilidade.

Gigantes terão a segurança colocada à prova

A ameaça de violação e exposição de dados de clientes têm sido um pesadelo para empresas, principalmente com a entrada em vigor de normas como a GDPR, na Europa, e a LGPD, no Brasil. LinkedIn, Experian, Peloton e outras sofreram incidentes envolvendo a segurança de APIs com vazamento. Os impactos regulatórios de tais eventos ainda estão sendo medidos, e os danos à marca também são difíceis de medir.

A privacidade requer uma mentalidade diferente da segurança de dados ou segurança de aplicativos. As organizações estão nos estágios iniciais de contratação para funções de privacidade. Enquanto isso, APIs ainda estão sendo construídas ou integradas regularmente de forma que facilitam a exposição de dados pessoais.

Governança e de compliance farão parte de segurança de APIs

A segurança de APIs será avaliada a partir de critérios mais amplos, indo além das funções tradicionais, como desenvolvimento de aplicativos, produto de API e segurança de aplicativos. As equipes de governança e de compliance, bem como os auditores externos, estão se interessando mais pela linguagem das APIs, pois isso afeta todos os elementos de um programa de segurança da informação. Muitos padrões e regulamentações já indicam funcionalidades ou dados específicos que devem ser adequadamente protegidos para garantir a conformidade.

Equipes de segurança buscam mais visibilidade e contexto

Operações de Segurança (SecOps) são o núcleo da maioria dos programas de segurança cibernética. Segurança de infraestrutura, avaliação de vulnerabilidades e gerenciamento de vulnerabilidades geralmente são os focos predominantes. As equipes de segurança devem identificar vulnerabilidades (geralmente como CVE-IDs), priorizar quais problemas de segurança são mais críticos ou impactantes nos negócios e acompanhar a correção até o fechamento.

As equipes de SecOps geralmente não têm experiência em problemas de camada de aplicativo, e os profissionais confiam nas equipes de aplicativos para obter essa inteligência. Esse cenário geralmente leva a um acúmulo de vulnerabilidades em silos, pois cada equipe mantém seus próprios processos para evitar a interrupção dos negócios.

À medida que os incidentes de segurança de APIs continuam a aumentar, as equipes de SecOps devem identificar proativamente falhas relacionadas à API que podem levar a exposição de dados.

Superfície de ataque em constante mudança impulsiona automação

As práticas de DevOps visam alcançar processos e entrega que sejam codificados e repetíveis, o que, por sua vez, beneficia a automação e a velocidade de liberação. Testes de segurança e segurança em tempo de execução também devem se adequar a esse modelo. Assim como a transição de metodologias em cascata para metodologias ágeis, as organizações começarão a adotar ainda mais a integração e a automação de serviços de segurança de APIs.

Raramente uma organização conhece todas as APIs que está construindo, integrando ou consumindo. Montar e atualizar continuamente o inventário de API é apenas um elemento crítico de uma estratégia de segurança de APIs. Conhecer todas as maneiras pelas quais um invasor pode potencialmente direcionar ou explorar essas APIs e implantar proteções ou mitigações de tempo de execução apropriadas é outra peça do quebra-cabeça. A assistência de máquina é a única maneira pela qual as organizações podem se antecipar à curva de segurança da API e ao fluxo de alterações de código, integrações de parceiros, código de terceiros e dados em movimento.

Quer saber mais como proteger suas APIs? Fale conosco e conheça a solução da SALT Security.

A transformação começa agora.