Segurança de APIs se tornou um dos principais “calcanhares de Aquiles” quando se trata do complexo mundo cybersec. O Gartner estima que, em 2021, as APIs serão responsáveis por 90% dos ataques a aplicativos habilitados para web, e o abuso de API se tornará o vetor de ataque mais frequente em 2022. Segundo algumas estimativas, o tráfego da API representa 83% de todo o tráfego da web. Essas APIs fornecem um acesso direto aos sistemas e dados críticos da organização.
Violações e exfiltração de dados podem parecer um comportamento normal de aplicativos, o que significa que os sistemas de segurança de aplicativos atuais, como firewalls de aplicativos da Web ou SIEMs, são insuficientes para identificar ataques. A segurança da API é muito mais complexa do que simplesmente detectar ataques em tempo de execução, o que pode explicar por que muitas organizações sofisticadas ainda são vítimas.
Quando se trata de segurança de API, os sistemas atuais podem ficar aquém. Não se trata apenas de comprar uma nova ferramenta que dê visibilidade ao inventário e ao comportamento da API. Em vez disso, a segurança da API deve ser pensada como um processo que analisa como as APIs podem ser descobertas, configurações incorretas identificadas, vulnerabilidades mitigadas e novas APIs testadas.
Antes de mergulharmos no processo de segurança de APIs, vamos dar um passo atrás e descobrir como chegamos aqui. Afinal, houve muitos novos vetores de ameaças que a comunidade de segurança cibernética conseguiu prevenir. O que torna a segurança da API tão diferente que requer um processo, não apenas um produto?
Por que a segurança de APIs é urgente e importante
O que se segue é o que vemos como impulsionando a adoção do uso da API e o aumento dramático resultante na superfície de ataque que eles representam:
Transformação digital
As organizações estão empreendendo estratégias de transformação para atender às expectativas dos clientes em termos de experiência e funcionalidade. Essas transformações geralmente são lideradas por linhas de liderança de negócios, com vários graus de participação da TI tradicional.
Frequentemente, esses projetos são implementados rapidamente em face da pressão competitiva ou de uma oportunidade comercial. Freqüentemente, as implicações de segurança são secundárias e podem não ser consideradas, especialmente quando as práticas de segurança, tecnologias e atividades de avaliação legadas são contornadas em nome da entrega expedita.
Migração da nuvem
Os aplicativos e a infraestrutura estão mudando para a nuvem pública em um ritmo cada vez maior. Embora os recursos de segurança estejam disponíveis na nuvem pública para limitar a exposição pública e garantir que a configuração seja adequada, muitas organizações não tomaram medidas adequadas para proteger esses ativos.
Aplicativos de microsserviços
A mudança para microsserviços mudou a forma da superfície de ataque do aplicativo. Os aplicativos monolíticos são relativamente estáticos, com atualizações raras e um número limitado de instâncias. Seu perímetro é finito e conhecido. Um aplicativo baseado em microsserviços quebra esse modelo, fragmentando o aplicativo em dezenas ou centenas de elementos menores – contêineres, funções sem servidor, APIs, entre outros – cada um dos quais requer sua própria segurança. As chances pioraram de que uma única violação fosse bem-sucedida.
Desenvolvimento ágil
A mudança para o DevOps e o desenvolvimento ágil de software acelerou os tempos de ciclo para a implantação de novos aplicativos. Organizações com pipelines de CI / CD estão movendo novos códigos em curtos períodos de semanas, dias ou mesmo horas. Muitos desses lançamentos são feitos com supervisão limitada da equipe de segurança. Novas APIs, por exemplo, podem ser publicadas sem o conhecimento da equipe de segurança; outros podem ser deixados vivos mesmo quando não são mais necessários ou em uso. Tem havido muita preocupação com as chamadas APIs ‘invasoras’ ou ocultas na rede, mas a realidade é que mesmo dentro das APIs conhecidas há mudanças constantes na base de código e configurações incorretas podem ocorrer facilmente.
Cada uma dessas transições tem implicações significativas do ponto de vista da segurança. O fato de todos os quatro estarem acontecendo ao mesmo tempo sobrecarregou as equipes de segurança, já pressionadas por mudanças como a adoção de dispositivos móveis e a transição para o trabalho remoto.
Seria ótimo se as vulnerabilidades de segurança da API pudessem ser resolvidas por um único ponto de controle, como um WAF ou gateway de API. No entanto, ainda não chegamos lá e não haverá uma caixa de segurança mágica da API tão cedo.
A Estratégia de Segurança de APIs
A segurança de APIs é um processo, não um produto. É necessária uma abordagem holística que mitigue as ameaças em toda a pilha de entrega da API, não apenas na extremidade da API. A plataforma de segurança Noname API pode ser usada para conduzir um processo de segurança API multifacetado que começa com o teste no estágio de desenvolvimento da API e continua ao longo do ciclo de vida da API. A plataforma usa uma combinação de ferramentas de teste de API, descoberta de API, monitoramento contínuo e mitigação de ameaças em tempo de execução. O processo é crucial quando se trata de segurança de API.
Aqui estão os quatro estágios da metodologia de segurança de API mais avançada, que chamamos de DART:
Descoberta– encontre todas as APIs em todo o ambiente, incluindo APIs não autorizados e shadow.
Análise – detectar ataques de API, comportamento suspeito e configurações incorretas.
Correção – evite violações de segurança e perda de dados e integre com soluções de gerenciamento existentes.
Teste – teste ativamente as APIs antes da produção e após a implantação.
Dando o próximo passo
A ameaça à segurança da API é real e pode parecer avassaladora. As equipes de segurança não têm visibilidade da extensão do problema, muito menos os meios e métodos para controlar a exposição. A metodologia DART API Security fornece uma estrutura para as equipes de segurança cibernética abordarem o desafio de maneira estruturada. Se você quer saber como podemos ajudar, solicite uma demonstração.
