BLOG | ESCRITÓRIO DO DIRETOR DE TECNOLOGIA

O caso das estratégias integradas de segurança de aplicações e APIs

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 09 de agosto de 2023

É evidente que a segurança de aplicativos e APIs se tornou mais especializada. As APIs não são mais apenas pontos de entrada baseados em URI em um aplicativo. As APIs cresceram e se tornaram uma entidade separada com suas próprias necessidades de segurança.

A maioria dessas necessidades de segurança está relacionada à natureza das interações da API. Ou seja, as APIs precisam ser autorizadas por transação. Isso é bem diferente dos aplicativos, que geralmente aplicam autorização por sessão.

A taxa de interação também é maior para APIs, assim como várias outras características que trazem desafios específicos para a proteção das APIs.

 

  Aplicação API
Fluência no formato de mensagem HTML, JSON, XML ProtoBuf, JSON, GraphQL, binário, XML, formatos de dados
Interações Mudança estática e infrequente Mudança dinâmica e frequente
Dados Estruturados, transacionais Não são estruturados, contínuos e transacionais
Usuário Pessoa Software, pessoa
Agente do usuário Navegadores, aplicações Software, dispositivo, scripts, aplicações, navegadores
Autenticação Com base em sessão Com base em transações (mais do tipo ZT)
Fluência de protocolo HTTP/S, QUIC gRPC, WebSockets, HTTP/S, QUIC

Uma comparação de aplicações e APIs ilustra as diferenças que causaram a divergência nas necessidades de segurança. 

Dito isso, há riscos de segurança comuns a aplicativos e APIs que devem ser considerados ao implementar soluções de segurança. Por exemplo, o Top 10 de Segurança de API de 2023, atualizado recentemente, mostra claramente um subconjunto de riscos que são compartilhados com aplicativos:

  • Controles de autenticação/autorização fracos
  • Configuração incorreta
  • Abuso da lógica de negócios (credential stuffing, account takeover)
  • Server-Side Request Forgery (SSRF)

Além desses riscos, continua havendo um número substancial de ataques visando a disponibilidade. Ou seja, ataques DDoS que são comuns a aplicativos e APIs, pois geralmente compartilham as mesmas dependências de TCP e HTTP, ambos sujeitos a uma variedade de ataques projetados para interromper o acesso e a disponibilidade. 

Uma abordagem para enfrentar os desafios de proteger aplicativos, APIs e a infraestrutura que os suporta é implantar diversas soluções. Defesa contra bots e fraudes, proteção DDoS, segurança de aplicativos e segurança de API. Embora isso certamente resolva os desafios de segurança, introduz desafios operacionais e torna mais complexas muitas tarefas relacionadas à segurança, como o gerenciamento de mudanças de políticas e a reação a ameaças que afetam aplicativos e APIs. A complexidade não é apenas inimiga da segurança, mas também inimiga da velocidade.

A velocidade com que se pode reagir a ameaças emergentes é um dos principais motivadores para a adoção da Segurança como Serviço, de acordo com nossa pesquisa anual . Cada solução que exige um patch, uma atualização ou a implantação de uma nova política para mitigar uma ameaça emergente acrescenta tempo e aumenta a possibilidade de uma configuração incorreta ou um erro. Portanto, o tempo para mitigar uma ameaça aumenta com a complexidade, especialmente se uma organização estiver operando em vários ambientes (TI híbrida) e utilizar soluções de segurança por ambiente. Não estou fazendo contas para determinar se é um aumento linear ou exponencial porque, honestamente, qualquer coisa que aumente o tempo de resposta a uma ameaça iminente não é uma coisa boa.

É por isso que a melhor opção é combinar soluções, compartilhando o gerenciamento operacional e de segurança para funções voltadas a enfrentar ameaças. Assim, pode haver políticas de segurança específicas para lidar com esses protocolos e cargas exclusivas de aplicações e APIs.

Isso leva a uma estratégia de segurança de aplicativo e API integrada, na qual funções comuns são compartilhadas com granularidade e especificidade crescentes aplicadas mais perto do aplicativo ou API. Bots são bots, afinal, e seu impacto na qualidade dos dados, custo de entrega e perfil de risco para aplicativos e APIs são uma preocupação compartilhada. DDoS é DDoS. Operar o dobro de serviços para resolver o mesmo problema é ineficiente em todas as medidas da métrica.

Uma estratégia integrada de segurança de aplicações e APIs faz sentido em termos operacional, financeiro e de arquitetura.