O caso das estratégias integradas de segurança de aplicações e APIs
É evidente que a segurança de aplicativos e APIs se tornou mais especializada. As APIs não são mais apenas pontos de entrada baseados em URI em um aplicativo. As APIs cresceram e se tornaram uma entidade separada com suas próprias necessidades de segurança.
A maioria dessas necessidades de segurança está relacionada à natureza das interações da API. Ou seja, as APIs precisam ser autorizadas por transação. Isso é bem diferente dos aplicativos, que geralmente aplicam autorização por sessão.
A taxa de interação também é maior para APIs, assim como várias outras características que trazem desafios específicos para a proteção das APIs.
| Aplicação | API | |
|---|---|---|
| Fluência no formato de mensagem | HTML, JSON, XML | ProtoBuf, JSON, GraphQL, binário, XML, formatos de dados |
| Interações | Mudança estática e infrequente | Mudança dinâmica e frequente |
| Dados | Estruturados, transacionais | Não são estruturados, contínuos e transacionais |
| Usuário | Pessoa | Software, pessoa |
| Agente do usuário | Navegadores, aplicações | Software, dispositivo, scripts, aplicações, navegadores |
| Autenticação | Com base em sessão | Com base em transações (mais do tipo ZT) |
| Fluência de protocolo | HTTP/S, QUIC | gRPC, WebSockets, HTTP/S, QUIC |
Uma comparação de aplicações e APIs ilustra as diferenças que causaram a divergência nas necessidades de segurança.
Dito isso, há riscos de segurança comuns a aplicativos e APIs que devem ser considerados ao implementar soluções de segurança. Por exemplo, o Top 10 de Segurança de API de 2023, atualizado recentemente, mostra claramente um subconjunto de riscos que são compartilhados com aplicativos:
- Controles de autenticação/autorização fracos
- Configuração incorreta
- Abuso da lógica de negócios (credential stuffing, account takeover)
- Server-Side Request Forgery (SSRF)
Além desses riscos, continua havendo um número substancial de ataques visando a disponibilidade. Ou seja, ataques DDoS que são comuns a aplicativos e APIs, pois geralmente compartilham as mesmas dependências de TCP e HTTP, ambos sujeitos a uma variedade de ataques projetados para interromper o acesso e a disponibilidade.
Uma abordagem para enfrentar os desafios de proteger aplicativos, APIs e a infraestrutura que os suporta é implantar diversas soluções. Defesa contra bots e fraudes, proteção DDoS, segurança de aplicativos e segurança de API. Embora isso certamente resolva os desafios de segurança, introduz desafios operacionais e torna mais complexas muitas tarefas relacionadas à segurança, como o gerenciamento de mudanças de políticas e a reação a ameaças que afetam aplicativos e APIs. A complexidade não é apenas inimiga da segurança, mas também inimiga da velocidade.
A velocidade com que se pode reagir a ameaças emergentes é um dos principais motivadores para a adoção da Segurança como Serviço, de acordo com nossa pesquisa anual . Cada solução que exige um patch, uma atualização ou a implantação de uma nova política para mitigar uma ameaça emergente acrescenta tempo e aumenta a possibilidade de uma configuração incorreta ou um erro. Portanto, o tempo para mitigar uma ameaça aumenta com a complexidade, especialmente se uma organização estiver operando em vários ambientes (TI híbrida) e utilizar soluções de segurança por ambiente. Não estou fazendo contas para determinar se é um aumento linear ou exponencial porque, honestamente, qualquer coisa que aumente o tempo de resposta a uma ameaça iminente não é uma coisa boa.
É por isso que a melhor opção é combinar soluções, compartilhando o gerenciamento operacional e de segurança para funções voltadas a enfrentar ameaças. Assim, pode haver políticas de segurança específicas para lidar com esses protocolos e cargas exclusivas de aplicações e APIs.
Isso leva a uma estratégia de segurança de aplicativo e API integrada, na qual funções comuns são compartilhadas com granularidade e especificidade crescentes aplicadas mais perto do aplicativo ou API. Bots são bots, afinal, e seu impacto na qualidade dos dados, custo de entrega e perfil de risco para aplicativos e APIs são uma preocupação compartilhada. DDoS é DDoS. Operar o dobro de serviços para resolver o mesmo problema é ineficiente em todas as medidas da métrica.
Uma estratégia integrada de segurança de aplicações e APIs faz sentido em termos operacional, financeiro e de arquitetura.