Prevenção de Ataques de API: Preparando-se para o novo alvo de aquisição de contas dos cibercriminosos

• A estrutura previsível e de design aberto cria muitas portas abertas para fácil exploração.
  Os desenvolvedores tendem a criar APIs flexíveis com estruturas previsíveis que aderem a arquiteturas lógicas (como REST), o que facilita para criminosos investigar dados adicionais que podem ter sido expostos.
  
  
• A visibilidade reduzida entre organizações dificulta a observação da atividade da API, especialmente se você nem sabe que a API existe.
  As APIs geralmente são publicadas antes que as equipes de SecOps tomem conhecimento delas, criando um ecossistema de API fantasma ou zumbi e falta de visibilidade de ponta a ponta no tráfego de API.
  
  
• O aumento da complexidade cria APIs não gerenciadas e desprotegidas, resultando em uma superfície de ataque maior.
  Ambientes distribuídos e a proliferação de serviços tornam desafiador descobrir, gerenciar e monitorar consistentemente todas as APIs, o que leva a um número maior de ameaças e maior vulnerabilidade a incidentes de segurança e privacidade.

Ataques modernos de bots maliciosos continuam a evoluir, fazendo com que ferramentas antigas de prevenção de bots falhem em manter sua eficácia. Esse problema provavelmente piorará em relação às APIs, já que ataques de bots são usados para atingir APIs de diversas maneiras novas e diferentes, desde a automação de varreduras de exploração até a manipulação de recursos e vulnerabilidades de lógica de negócios, até a condução de ataques de injeção e preenchimento de credenciais.

Ataques de preenchimento de credenciais de API são um ótimo exemplo de por que as estratégias tradicionais de mitigação de bots deixam você exposto. Algumas APIs fornecem tokens de autenticação depois que um nome de usuário e uma senha são enviados, semelhante ao login em um site. Este token é normalmente usado para todas as outras solicitações feitas à API. É um padrão comum em APIs, especialmente APIs mais antigas, e é vulnerável a ataques de credential stuffing e password spraying.

É difícil diferenciar entre invasores e clientes reais porque esses tipos de esforços direcionados ignoram a maioria dos controles tradicionais. Os controles de segurança tradicionais, como firewalls básicos de aplicativos da web (WAFs) e sistemas de gerenciamento de informações e eventos de segurança (SIEM), não são suficientes para identificar e prevenir ataques de bots em APIs, em parte devido à grande quantidade de tráfego de máquina para máquina, ou de API para API. Os ataques podem parecer um comportamento normal de aplicativo na superfície, mas, nos bastidores, as APIs podem ser exploradas e abusadas, permitindo que os invasores evitem a detecção até que seja tarde demais.

A segurança da API é uma responsabilidade compartilhada por toda a organização, o que aumenta a necessidade de se preocupar com ataques de bots que levam ao comprometimento e violação de dados, bem como aqueles que afetam o tempo de atividade e a confiabilidade, tanto para aplicativos da web legados quanto para estruturas de API modernas.

Quando se trata de segurança de API e proteção contra acesso não autorizado por meio de APIs , seja por meio de preenchimento de credenciais, força bruta ou outros mecanismos de tentativa de login forçados, um mecanismo sofisticado de IA/ML pode ajudar identificando atividades de tentativa de login com falha ou tentativas de descobrir parâmetros de API e sinalizando essas tentativas para que as equipes de operações analisem.

Há várias maneiras pelas quais as organizações devem reforçar a segurança de suas APIs, incluindo validar conexões e acessos, monitorar e alertar sobre comportamento ao longo do tempo e ajudar a identificar comportamentos incomuns de clientes para identificar possíveis áreas de comprometimento.

• Monitore e proteja continuamente os endpoints da API para identificar integrações de aplicativos em constante mudança, detectar componentes vulneráveis e mitigar ataques por meio de integrações de terceiros.
• Implemente um modelo de segurança positivo que se integre ao seu pipeline de CI/CD e ofereça suporte às especificações de interface OpenAPI e Swagger para validar facilmente o esquema, impor a conformidade do protocolo, estabelecer automaticamente padrões de tráfego normais e detectar comportamento anômalo.
• Adote a confiança zero e a segurança baseada em risco adotando princípios de acesso com privilégios mínimos, inspecionando cargas úteis, impedindo a exposição não autorizada de dados e implementando controle de acesso e autenticação baseada em risco para objetos e funções. Isso deve incluir a coleta de informações e a construção de uma linha de base para o comportamento normal dos bots em relação às suas APIs. Ao aproveitar a análise comportamental e de padrões, a validação do fluxo de trabalho e a impressão digital, você pode diferenciar entre atividades humanas, de bots bons e de bots ruins.
• Reaja às mudanças no ciclo de vida dos aplicativos evitando configurações incorretas de segurança em ambientes heterogêneos, mitigando abusos que podem levar a comprometimento e negação de serviço e corrigindo ameaças de forma consistente em nuvens e arquiteturas. Continue escaneando, testando e monitorando suas APIs em busca de configurações incorretas, vulnerabilidades e falhas de lógica de negócios.

Você deve explorar a possibilidade de ter uma visão centralizada da sua postura de segurança de API para permitir que sua organização aja rapidamente, identifique possíveis problemas em seu ambiente de API, investigue e aja conforme apropriado para neutralizar quaisquer anomalias ou ameaças que possam afetar a conectividade, a disponibilidade ou a segurança do aplicativo e da API.

Saiba mais sobre como você pode evitar ataques de invasão de conta neste webinar sob demanda .