Por que as APIs são o alvo dos sonhos dos hackers?
A economia digital global exige interfaces de programação de aplicativos (APIs) para conectar serviços baseados em aplicativos a clientes, consumidores, parceiros e funcionários. Aplicativos legados, modernizados e novos estão evoluindo para arquiteturas baseadas em API para acelerar o desenvolvimento de aplicativos e reduzir o tempo de colocação no mercado. Mover a funcionalidade do aplicativo para mais perto do cliente para reduzir o atrito é a gênese das arquiteturas descentralizadas e do movimento API-first.
Infelizmente, as eficiências obtidas por meio de APIs no desenvolvimento de aplicativos estão sendo ofuscadas pelo risco que elas apresentam para uma empresa de TI. Os hackers aprenderam que comprometer APIs é fácil quando elas são pouco protegidas ou não protegidas. Ninguém argumentaria que as APIs exigem práticas seguras ; no entanto, não há consenso no setor sobre a melhor maneira de protegê-las. A seguir estão alguns dos principais motivos pelos quais as APIs exigem mais proteção do que normalmente recebem.
Vulnerabilidades de API são amplamente ignoradas
Um número crescente de violações de segurança significativas devido à baixa visibilidade e segurança da API ocorrem e continuarão ocorrendo no futuro próximo.1 A corrida para digitalizar organizações colocará mais APIs inadequadamente protegidas em produção. Muitas organizações tentarão resolver vulnerabilidades de API por meio de melhor design e codificação, apenas para perceber as mesmas falhas de segurança dos aplicativos em geral, em parte porque a segurança não é uma competência essencial para um desenvolvedor de aplicativos típico, e as equipes de segurança podem não estar cientes de todas as interconexões de terceiros em seu ambiente.
A expansão da API é chocantemente generalizada
O cerne da proliferação de APIs é a falta de uma estratégia holística que inclua governança e melhores práticas. O desenvolvimento ágil de aplicativos levou a múltiplas versões da mesma API sem o benefício do controle de versão da API. A mudança para microsserviços resulta em um aplicativo que compreende dezenas de APIs.
APIs não gerenciadas criam APIs desonestas, ocultas e zumbis. As APIs chegarão a 2 bilhões até 2030, agravando ainda mais o problema.2
API Gateways são insuficientes para proteger APIs em ecossistemas complexos
Operar em um ambiente de nuvem distribuída é a norma hoje. No entanto, usar um gateway de API dedicado como um ponto de entrada único para controlar a segurança tem limitações, incluindo pontos únicos de falha e degradação de desempenho. Como os gateways de API hoje são um componente crítico da infraestrutura de API, ficou evidente que a proliferação de APIs aumenta a implantação de gateways de API, levando à proliferação de gateways de API.
Firewalls de aplicativos da Web (WAFs) protegem APIs apenas parcialmente
Os WAFs modernos fornecem proteção e segurança robustas para protocolos de API, incluindo GraphQL e gRPC, e fornecem uma solução temporária para vulnerabilidades críticas de software, mas geralmente não oferecem a observabilidade necessária de APIs para detectar ameaças avançadas em arquiteturas híbridas e de múltiplas nuvens. Muitos WAFs não possuem recursos de descoberta dinâmica de API, detecção automatizada e mitigação de ameaças, testes e automação de especificação de documentos OpenAPI e recursos de aplicação.
Agora que sabemos por que os hackers adoram APIs, como podemos protegê-los?
Alavancar regulamentos e padrões para obter suporte para projetos de proteção de API
Os reguladores tomaram conhecimento do risco introduzido pelas APIs e incentivaram as empresas a mitigar seus riscos em todos os seus empreendimentos de TI, incluindo terceiros. Os EUA O Departamento do Tesouro e o Consumer Financial Protection Bureau (CFPB) emitiram orientações rigorosas para entidades em conformidade que precisam proteger APIs. De uma perspectiva de padrões, o requisito 6.3.2 do PCI DSS v4 exige segurança de API, e a recomendação do Guia NIST 800-95 para Serviços Web Seguros desde 2007 – Estratégias de Segurança 800-24 para Sistemas de Aplicativos baseados em Microsserviços especifica o gerenciamento seguro de API.
Foco na Arquitetura
Uma arquitetura de segurança de API deve considerar a integração com uma empresa de TI distribuída, incluindo multinuvem, bordas regionais e níveis de serviço. A solução deve ser implantável em qualquer hardware, ambiente virtualizado, docker, Kubernetes, etc. A solução deve permitir que as políticas de segurança sigam a API por meio de seu ecossistema. A seguir está um exemplo de uma arquitetura de referência para proteger APIs.
Considerações finais
Os hackers perceberam há muito tempo que as APIs sofrem os mesmos problemas de segurança que os aplicativos da web, incluindo controles fracos de autenticação e autorização. Eles se tornaram hábeis em explorar vulnerabilidades de API, abusar da lógica de negócios e criar exploits de dia zero para acessar empresas de TI com pouca resistência.
Os dados pessoais são propriedade do indivíduo, não de um aplicativo ou provedor de serviços. A economia digital alimenta o compartilhamento aberto de dados. As APIs permitem dados e serviços privados, públicos, de parceiros e de terceiros. As APIs precisam ter tecnologias de preservação de privacidade aplicadas para cumprir com as regulamentações de privacidade de dados.
A implantação de uma solução de segurança de API requer integração de infraestrutura e conectores, alguns personalizados para implantação adequada em um ambiente de TI. Entender as complexidades da implantação requer planejamento arquitetônico. Selecionar uma solução que opere imediatamente em uma arquitetura empresarial de TI existente reduz o tempo de implantação.
Para saber mais sobre como se defender contra ataques de API, confira meu relatório recente encomendado pela F5, Guia de avaliação de soluções de segurança de API . Este relatório discute as considerações mais importantes na seleção de uma solução de proteção de API.
Por Tari Schreider, C|CISO, CRISC – Consultora estratégica, Datos Insights