A proliferação de APIs a partir de uma estrutura em constante expansão de endpoints e integrações torna impraticável para as equipes de segurança identificar e proteger a lógica empresarial crítica usando métodos manuais. As APIs estão cada vez mais distribuídas em infraestruturas heterogêneas, incluindo ambientes híbridos e multicloud que aproveitam data centers, nuvens públicas e sites de ponta, resultando na exposição de lógica empresarial crítica fora do âmbito dos controles de segurança centralizados. Além disso, como as equipes de desenvolvimento de aplicativos agem rapidamente para inovar, as chamadas de API podem acabar escondidas nas profundezas da lógica de negócios e fazer referência a códigos inseguros, tornando-as difíceis de proteger. 

Com tanta ênfase na velocidade da inovação, a segurança muitas vezes fica para trás. Às vezes, a segurança é simplesmente esquecida no design das próprias APIs. Frequentemente, a segurança é considerada, mas a política fica mal configurada devido à complexidade diferenciada de manter implantações de aplicativos que abrangem várias nuvens e arquiteturas. 

Como as APIs são projetadas para troca de dados entre máquinas, muitas APIs representam uma rota direta para dados confidenciais, geralmente sem os mesmos controles de risco da validação de entrada em formulários da web voltados para o usuário. No entanto, esses endpoints estão sujeitos aos mesmos ataques que assolam os aplicativos da web: explorações de vulnerabilidades, abuso de lógica de negócios e desvio de controles de acesso que podem levar à violação de dados, tempo de inatividade e tomada de conta (ATO).

Os endpoints de API não devem apenas ser avaliados com os mesmos controles de risco que os aplicativos da web, incluindo análise de código, testes de penetração e modelagem de ameaças para mitigar o risco de ataques de lógica de negócios, mas também considerações adicionais são necessárias para mitigar riscos não intencionais de endpoints que estão fora do escopo das equipes de segurança ou que foram essencialmente abandonados, como é o caso das APIs shadow e zumbis.

Como as APIs são suscetíveis a muitos dos mesmos ataques conhecidos por atingir aplicativos da web, incidentes de segurança de API têm sido a causa de algumas das violações de dados de maior visibilidade. Riscos como controles fracos de autenticação/autorização, configuração incorreta, abuso de lógica de negócios e falsificação de solicitação do lado do servidor (SSRF) afetam aplicativos da web e APIs. Explorações de vulnerabilidades e abusos de bots e automação maliciosa são as principais preocupações:

• Injeção e script entre sites (XSS) podem levar ao acesso não autorizado de dados.
• A negação de serviço distribuída (DDoS) pode interromper serviços críticos de geração de receita.
• Credential stuffing e outros ataques automatizados podem levar a comprometimento, violação de dados e fraude.

Os aplicativos migraram para um modelo cada vez mais distribuído e descentralizado, com APIs servindo como interconexão. Aplicativos móveis e integrações de terceiros que aumentam o valor comercial se tornaram essenciais para competir com sucesso em um mundo online. A pesquisa do F5 Labs detalha como as APIs são um alvo crescente à medida que mais setores adotam arquiteturas de aplicativos modernas, em parte porque as APIs são mais estruturadas e mais fáceis de serem utilizadas pelos invasores.

O risco aumenta quando as APIs se tornam amplamente distribuídas sem uma estratégia de governança holística. Esse risco é agravado por um processo contínuo de ciclo de vida do aplicativo, em que aplicativos e APIs mudam constantemente ao longo do tempo devido à integração com cadeias de suprimentos complexas e automação por meio de pipelines de CI/CD.

A variedade de interfaces e a exposição potencial a riscos significam que as equipes de segurança precisam proteger a porta da frente, bem como todas as janelas que representam os blocos de construção de aplicativos modernos e de IA, de forma proativa, dinâmica e contínua.

Os avanços no aprendizado de máquina possibilitam descobrir dinamicamente os endpoints da API e mapear automaticamente suas interdependências, tanto em testes quanto em produção, fornecendo uma maneira prática de analisar padrões de comunicação da API ao longo do tempo e identificar APIs ocultas ou não documentadas que aumentam o risco. 

Além disso, o monitoramento e a análise contínuos de endpoints permitem que linhas de base de segurança sejam construídas de forma autônoma, proporcionando detecção em tempo real, pontuação de risco automatizada e mitigação de usuários mal-intencionados sem aumentos desnecessários na carga de trabalho da sua equipe de segurança.

Essa proteção contínua e automatizada resulta em políticas altamente calibradas que podem ser aplicadas consistentemente em todas as arquiteturas, para todas as APIs, durante todos os estágios do ciclo de vida de desenvolvimento de software, mitigando explorações, impedindo ataques de lógica de negócios e reforçando o esquema, a conformidade do protocolo e o controle de acesso.

As empresas precisam modernizar seus aplicativos legados e, ao mesmo tempo, desenvolver novas experiências de usuário aproveitando arquiteturas modernas e integrações de terceiros. Uma estratégia de governança holística que protege APIs do núcleo à nuvem e à borda oferece suporte à transformação digital, ao mesmo tempo que reduz riscos conhecidos e desconhecidos.

As soluções F5 oferecem flexibilidade para operar em qualquer ambiente. Visibilidade universal e proteções automatizadas baseadas em ML maximizam a eficácia e aliviam as equipes de segurança. A F5 pode consolidar soluções de nicho/puras e proteger consistentemente ambientes híbridos e multicloud para melhorar a resiliência e a correção.

As principais considerações para implantar a segurança da API incluem:

1. Suporte híbrido e multicloud
   A visibilidade universal e a aplicação consistente de políticas reduzem a complexidade, a dispersão de ferramentas e o risco de configuração incorreta, além de aumentar a velocidade de correção.
   
   
2. Integração com processos de desenvolvimento existentes
   As equipes de segurança podem acompanhar o ciclo de vida do aplicativo descobrindo riscos proativamente durante os testes e integrando a política de segurança aos pipelines de CI/CD por meio de um registro nativo do Terraform.
   
   
3. Modelo de segurança positiva
   As soluções F5 simplificam as políticas com um modelo de segurança positivo que aplica o esquema usando definições OpenAPI, arquivos Swagger e princípios de confiança zero.
   
   
4. Defesas automatizadas
   A detecção de anomalias baseada em ML corrige explorações de vulnerabilidades, abuso de lógica de negócios e negação de serviço sem sobrecarregar as equipes de segurança com ajustes de políticas em todos os ambientes ou excesso de falsos positivos.
   
   
5. Visualizações ricas
   Painéis de segurança com suporte detalhado às linhas de base de uso da API ajudam os operadores a correlacionar insights e simplificar a resposta a incidentes.


6. Resiliência de segurança
   Telemetria durável e aprendizado de máquina altamente treinado permitem uma segurança mais eficiente e eficaz que acompanha a velocidade dos negócios digitais e atenua ataques de IA adversários emergentes.

As soluções F5 protegem APIs em todo o portfólio empresarial, descobrindo continuamente e protegendo automaticamente lógicas comerciais críticas e integrações de terceiros em nuvens e arquiteturas. 

Uma política de segurança abrangente e consistente, aliada a defesas resilientes baseadas em ML, permite que as organizações alinhem a segurança da API à estratégia digital. Isso permite que as empresas melhorem a gestão de riscos, inovem com confiança e otimizem as operações.

Veja o F5 Distributed Cloud em ação .