Aplicativo vs. Segurança da API? Os bots não se importam. Defenda seus ativos digitais
Hora do teste surpresa. Qual desses endpoints pertence a uma API e qual pertence a um aplicativo?
https://www.example.com/product
https://www.example.com/product
Se você está confuso e não consegue decidir, tudo bem. Esse é o ponto. Os endpoints de aplicativos e APIs parecem praticamente os mesmos. Isso ocorre porque, em termos técnicos, se eles forem RESTful (e a maioria é), eles são invocados da mesma forma, via HTTPS e geralmente com um método GET. O que geralmente é diferente é a carga útil enviada com a solicitação. Para APIs que normalmente contêm alguns dados em formato JSON ou XML, enquanto solicitações de aplicativos da web podem conter, bem, nada.
Ainda assim, uma das principais descobertas da nossa pesquisa anual sugere que as organizações tratam as APIs de forma diferente dos aplicativos quando se trata de segurança. Inferimos isso com base na descoberta de que 41% das organizações têm pelo menos o mesmo número ou mais de APIs que aplicativos e, ainda assim, dão menos valor aos mesmos serviços de segurança que as protegem.
Você pode se perguntar como as organizações acabariam com mais APIs do que aplicativos. Obrigado por perguntar! Embora as APIs usadas para comunicação interna de serviço para serviço (como microsserviços) certamente estejam fortemente acopladas ao serviço que oferecem suporte, isso não é necessariamente verdade quando as APIs são usadas para apresentar interfaces externas.
De onde vêm as APIs?
Considere que em nossa pesquisa de 2021, 61% dos entrevistados nos disseram que estavam “adicionando uma camada de APIs para habilitar interfaces de usuário modernas” como um método de modernização. Em 2022 esse número era de 45%. O que isso significa é que as APIs que permitem interfaces de usuário modernas não são necessariamente artefatos diretamente anexados aos aplicativos. Elas podem ser fachadas que facilitam interfaces de usuário e aplicativos modernos, como aplicativos móveis e serviços digitais , ou podem ser fachadas projetadas para permitir comunicações entre parceiros e a cadeia de suprimentos. Esses casos de uso são suportados por gateways de API e roteamento de camada 7 em balanceadores de carga, que geralmente fornecem algum nível de recursos de transformação que lhes permitem traduzir do ponto de extremidade da API para o ponto de extremidade do aplicativo, permitindo assim uma fachada de API como aquelas que fazem os antigos edifícios do oeste americano parecerem muito mais impressionantes do que realmente são.
E, claro, um bom número de APIs são entidades públicas anexadas a aplicativos e acessadas pela web (normalmente HTTPS).
Independentemente de como chegaram lá, as APIs públicas estão sujeitas a muitos dos mesmos ataques que os aplicativos. Isso é especialmente verdadeiro quando há bots envolvidos, pois APIs com boa documentação simplesmente facilitam para os invasores criar scripts de ataques em escala.
Por exemplo, pouco mais de 13% das transações protegidas pelo F5 Distributed Cloud Bot Defense em 2023 foram automatizadas. Ou seja, um script ou software foi usado em vez de um humano usando um navegador da web ou aplicativo móvel. Essas transações ocorrem por meio de APIs e aplicativos. Uma certa porcentagem dessas transações automatizadas eram certamente “bots ruins” que a presença do nosso serviço de segurança impediu de fazer qualquer coisa ruim que estivessem tentando fazer. (Você pode se aprofundar no que eles estavam tentando fazer neste relatório do F5 Labs )
Então, quando analisamos como os entrevistados percebem o gerenciamento de bots com base no número de APIs relatado por eles mesmos, ficamos um tanto chocados ao descobrir que o gerenciamento de bots ocupa um lugar bem baixo na escala de importância.
Você pode ver nesses gráficos de barras interessantes que, embora a importância atribuída aos API Gateways pareça ser apropriada ao número de APIs sob gerenciamento, o mesmo não é verdade para o gerenciamento de bots. Na verdade, é completamente o oposto! À medida que o número de APIs cresce, a importância do gerenciamento de bots parece diminuir. Rapidamente.
Certamente pode ser o caso de que a maior parte dessas APIs sejam internas. Ou seja, são APIs leste-oeste entre microsserviços que não são expostas a atores externos que podem ser bots maliciosos com intenções maliciosas.
Mas, por outro lado, podem ser. Dado o número de artigos que li no ano passado sobre invasores obtendo acesso por meio de APIs, imagino que haja muito mais artigos externos do que pensamos.
Então, é hora de lembrar às pessoas que, embora existam vários bots irritantes por aí — bots grinch, bots sneaker, etc. — que atrapalham os negócios ao consumir produtos de alta demanda, também há um número significativo de bots cujo único propósito é farejar vulnerabilidades e atacá-las. Tanto em APIs quanto em aplicativos.
Portanto, seria uma boa ideia que as organizações empregassem uma gama completa de opções de segurança para proteger suas APIs e, por fim, seus negócios. O gerenciamento de bots é certamente uma dessas opções de segurança e deve ser considerado um componente crítico de qualquer estratégia de segurança.
No final do dia, os bots não se importam se esse endpoint pertence a um aplicativo ou a uma API. Eles vão atacar ambos.
O que significa que as organizações precisam proteger tanto os aplicativos quanto as APIs detectando bots e impedindo que eles façam qualquer coisa ruim que estejam tentando fazer.
Quer ver a defesa de bots em ação? Confira esta demonstração .