APIs ocultas: Os pontos cegos estão expondo as agências do setor público a ataques?
O cenário digital está em constante evolução e, com ele, as ameaças ao setor público e à infraestrutura crítica nacional. Ataques recentes e bem documentados, como o dos EUA A violação do Departamento do Tesouro no final do ano passado e o hack da operadora de rede T-Mobile divulgado em 2023 servem como lembretes claros das vulnerabilidades em geral.
E cada vez mais, essas vulnerabilidades são encontradas em interfaces de programação de application , ou APIs. De fato, a Gartner previu recentemente que as APIs estão se tornando o principal vetor de ataque para applications da web, e minha experiência confirma essa tendência.
No Simpósio do Setor Público da AppWorld desta semana, que começa amanhã em Tysons Corner, Virgínia, discutiremos a proteção de API, juntamente com outras tendências emergentes em entrega e segurança de application . Este evento é uma oportunidade crucial para examinar esses desafios e explorar soluções eficazes.
Revelando a ameaça da API sombra
Um dos maiores desafios que vejo, repetidamente, é a falta de visibilidade das vulnerabilidades da rede. Muitas organizações simplesmente não sabem quantas APIs estão em uso. Realizamos exercícios de descoberta de API para clientes que pensavam ter cerca de 100 APIs, apenas para descobrir perto de 30.000! Isso não é incomum e representa um risco de segurança significativo.
As APIs operam em ecossistemas complexos, escondidas entre uma colcha de retalhos de arquiteturas, componentes, tipos e protocolos. Em média, as organizações usam mais de 20.000 APIs . Até 2030, espera-se que o número total de APIs em uso nos setores público e privado ultrapasse 2 bilhões. Os desafios no gerenciamento e na proteção desses dados geralmente ocorrem devido à falta de documentação ou à dificuldade de descoberta.
Esse fenômeno de “TI paralela”, onde APIs desconhecidas ou não gerenciadas proliferam, cria um ambiente propício para vulnerabilidades. Essas APIs geralmente não possuem controles de segurança adequados, o que as torna alvos fáceis para agentes mal-intencionados. Pense nisso como deixar portas e janelas destrancadas em sua casa: é um convite aberto para aqueles que desejam invadir.
Entendendo a exploração de API e vetores de ataque
As APIs estão sendo cada vez mais visadas por agentes estatais e organizações cibercriminosas. APIs governamentais e relacionadas à defesa são tão vulneráveis quanto aquelas voltadas ao público. Pode-se argumentar que eles são ainda mais atraentes como alvos devido aos dados confidenciais que manipulam.
APIs podem ser usadas como pontos de entrada para ataques mais profundos em redes. Uma API comprometida pode fornecer acesso a sistemas internos, bancos de dados e outros recursos críticos. É como encontrar uma passagem secreta para o coração da sua organização. Como vimos no caso da T-Mobile, operadora de rede sediada nos EUA, os agentes de ameaças podem explorar vulnerabilidades de API para obter acesso não autorizado a dados confidenciais que têm valor na dark web. Neste caso, os invasores roubaram as informações pessoais de 37 milhões de contas de clientes atuais.
Para complicar ainda mais as coisas, uma organização pode não controlar totalmente todas as APIs que fazem contato com seus sistemas.
Os EUA Os invasores do Departamento do Tesouro obtiveram acesso por meio de uma vulnerabilidade em um componente de software de terceiros — ironicamente, um software que fazia parte de sua defesa cibernética. Esses ataques à cadeia de suprimentos podem impactar organizações de qualquer tamanho e status, com vários exemplos, como o ataque Solar Winds e o grupo Volt Typhoon, chegando às manchetes.
Medidas robustas de segurança de API exigem que não seja deixada pedra sobre pedra. Nosso Relatório de Estratégia de Estado de Application de 2024: A Segurança de API revela quais APIs parecem enfrentar mais riscos, quais são comumente ignoradas pela proteção e como os modelos e responsabilidades de segurança de API podem precisar se adaptar para manter as APIs seguras na era da IA. Alerta de spoiler: a segurança de confiança zero também tem um ponto cego, a menos que também adote APIs.
A IA pode ser sua aliada na segurança de API? Aproveitando a defesa alimentada por IA
A IA tanto agrava quanto auxilia na segurança da API. A Gartner estima que a adoção da IA impulsionará mais de 30% do aumento da demanda por APIs até 2026, devido ao número de APIs que grandes modelos de linguagem precisam para coletar e trocar dados. Cada API requer documentação e segurança, criando uma série de oportunidades para intenções maliciosas.
Felizmente, as organizações não estão indefesas, e a IA está emergindo como uma poderosa ferramenta de defesa. A IA e o aprendizado de máquina podem analisar o tráfego de API em tempo real, detectando anomalias e comportamentos suspeitos que seriam impossíveis de serem identificados manualmente por humanos.
A IA pode classificar APIs, entender padrões normais de comportamento e sinalizar possíveis usos indevidos ou vulnerabilidades de segurança. Ele também pode ser usado para gerar políticas de segurança dinamicamente, adaptando-se às ameaças em evolução e garantindo que suas APIs estejam sempre protegidas. É como ter um segurança incansável e inteligente monitorando constantemente o tráfego da sua API.
Alcançando proteção consistente em todos os ambientes
As organizações do setor público de hoje aproveitam ambientes híbridos e multicloud — com AWS, Azure, Google Cloud e outros — para obter escalabilidade e resiliência, mas isso também aumenta a dor de cabeça da segurança da API. As diferenças inerentes entre provedores de nuvem, com suas próprias ferramentas e configurações de segurança, criam uma postura de segurança fragmentada. Depender apenas da segurança nativa da nuvem deixa lacunas que os invasores exploram avidamente. É como tentar defender um castelo com diferentes exércitos que não se coordenam.
A complexidade de gerenciar APIs em várias nuvens pode facilmente sobrecarregar as equipes de segurança que não conseguem obter uma visão abrangente de todas as APIs e seu status de segurança. Enfrentar esse desafio exige uma abordagem unificada, começando com um conjunto único e consistente de políticas de segurança em todas as nuvens, abrangendo autenticação, autorização e muito mais. Controles de segurança padronizados também são essenciais, garantindo um nível básico de proteção em todos os lugares.
Testes de segurança automatizados integrados ao ciclo de vida de desenvolvimento da API também identificam vulnerabilidades precocemente. O monitoramento em tempo real e a detecção de ameaças fornecem visibilidade e permitem uma resposta rápida a incidentes, enquanto um sistema robusto de gerenciamento de acesso (IAM) controla o acesso à API, e políticas claras de governança de API garantem práticas de segurança consistentes.
Proteger APIs em um mundo multinuvem exige uma abordagem proativa, centralizada e padronizada. Ao implementar esses princípios, organizações modernas do setor público e de infraestrutura crítica podem mitigar riscos e garantir a segurança contínua de suas APIs. Em última análise, trata-se de construir uma defesa forte e adaptável contra ameaças em evolução.
Quer saber mais? Ouça o recente Podcast Federal Tech com minha conversa com John Gilroy. Visite também a página da F5 Public Sector Solutions .