De muitas maneiras, consideradas o “novo campo de batalha para a segurança cibernética” em 2023, as APIs podem elevar – ou derrubar – um negócio neste ano. O fato de serem conectores, que sustentam e reúnem a maioria dos serviços digitais que usamos diariamente, os torna os principais alvos de hackers. O santo graal de um hacker é a melhor opção de baixo risco e alto pagamento. Como as APIs são o centro de tantos serviços de back-end úteis, elas são um único ponto de entrada e um único ponto de falha. Sobreviver no próximo ano será uma questão de entender e abordar adequadamente essas ameaças inerentes que, com as APIs, vêm com o território.
Não dá para viver com elas, mas não dá para viver sem elas
As APIs são tão fáceis, e é por isso que na era da informação digitalmente nativa, rápida e orientada para a gratificação instantânea de hoje, elas são amplamente utilizadas. Na verdade, eles são quase onipresentes ou serão nos próximos anos. A Apple usa a API do Weather Channel para fornecer atualizações diárias agradáveis, os aplicativos de música usam APIs para mostrar a música que você está ouvindo e os serviços de estacionamento usam APIs para avisar quando há uma próxima vaga disponível. Um estudo recente indicou que 97% dos líderes empresariais classificam o uso de API como essencial para o crescimento futuro, e outro mostra que o número médio de APIs usadas cresceu 82% em relação ao ano passado.
Um exemplo rápido ilustrará por que e por que eles são o principal alvo dos hackers. Em um restaurante, você interage com um garçom, não com toda a equipe de cozinheiros. Antes das APIs, os usuários (seja a empresa ou o usuário final) tinham uma carga de conhecimento muito maior e precisavam saber muito para obter as informações de que precisavam. Em outras palavras, você tinha que conhecer o cardápio, os tempos de cozimento, as opções de recheio, o escorredor de pratos e a grelha de pedidos curtos. Agora, as APIs entram em cena e você tem um garçom.
Finalmente, alguém para gerenciar tudo isso para você e ser seu único ponto de contato para lidar com o back-end cada vez mais complexo. As APIs são ótimas e sustentam a maioria dos serviços digitais atualmente. Eles têm sido uma benção para o DevOps e apenas aceleraram o já vertiginoso crescimento digital. No entanto, como há tanta coisa sobre eles e tantas informações passando por eles, eles também são uma grande responsabilidade do ponto de vista da segurança.
Não pode haver fenda na armadura, nenhum elo fraco como ela é. Mesmo na melhor das hipóteses, uma API corre um risco significativo. No entanto, adicione vulnerabilidades desnecessárias e latentes à mistura e elas se tornarão uma bomba-relógio.
Vulnerabilidades de segurança da API (e como lidar com elas)
Uma das vulnerabilidades mais ameaçadoras é a já mencionada – sua natureza como interface entre o usuário e uma miríade de serviços de back-end. Isso coloca um alvo em suas costas.
As demais são mais sutis. Aqui estão cinco delas:
1 – APIs excessivamente permissivas.
Eles já lidam com o suficiente. Por esse motivo, a API deve ser tratada como um superusuário e protegida com os mesmos cuidados. Além disso, pode ser útil relegá-los ao “usuário médio” e operar com base no princípio do menor privilégio. Forneça apenas à entidade solicitante (a pessoa que faz a interface com o aplicativo) o que ela precisa e mantenha os demais superpoderes de conexão desativados. Um em cada cinco entrevistados da pesquisa de segurança de API sofreu uma violação devido a APIs com privilégios excessivos.
2 – Falhas no código.
Fiel à sua natureza, muitas APIs são copiadas e coladas de modelos de código aberto. Isso faz com que uma coisa rápida chegue ao mercado ainda mais rápido. E a velocidade é ótima. Mas então nos deparamos com o sempre presente problema de segurança. Uma organização pede a um desenvolvedor uma API para seu novo aplicativo da Web sofisticado, e a equipe deseja distribuí-la da maneira mais eficiente possível. Como basicamente conecta o front-end e o back-end, não é algo que não tenha sido feito antes, e o código-fonte disponível existe em repositórios gratuitos como o GitHub. Assim, a equipe baixa uma API básica, ajusta-a para atender às especificações e a implementa – supondo que seja segura para uso. Foi testado antes de ser publicado no GitHub, certo? Não necessariamente. As equipes precisam fazer suas próprias verificações porque as APIs de código aberto nem sempre são atualizadas com as atualizações ou patches mais recentes e podem existir backdoors.
3 – Velocidade acima da segurança.
Isso foi mencionado anteriormente, mas a melhor maneira de evitar desastres em estágio avançado é começar a criar APIs com a segurança em mente. Você pode pegá-los no final do jogo, quando alguma equipe de controle de qualidade estiver fazendo sua devida diligência ou inserir recursos de segurança no design desde o início. O problema é o investimento. Se você contratar um designer de API externo, ele não terá interesse em saber se sua empresa enfrenta uma violação ou não. Isso refletirá em sua reputação, talvez, mas se não houver nada no contrato sobre expectativas de segurança, o risco é assumido pelo cliente. Certifique-se de verificar as letras miúdas e especificar suas expectativas e requisitos de antemão. Nem todas as APIs são criadas iguais, portanto, sinta-se à vontade para pedir a uma agência interna ou terceirizada que dê uma olhada antes de comprar. Isso diminui a rapidez de tudo, mas essa velocidade sairá pela culatra para as empresas que cortam custos.
4 – APIs expostas (e ocultas).
Isso vem com o território. À medida que mais e mais APIs são abertas para o mundo externo, a superfície de ataque aumenta. Existe uma troca. Por um lado, expor suas APIs em um ecossistema de API aberto permite que as organizações rastreiem a interação do usuário/produto e forneçam dados valiosos. Ele permite que os clientes personalizem seu produto e ajuda na retenção, pois os clientes obtêm o que desejam. Uma API exposta também pode combinar produtos para melhorar a experiência do usuário; alguns setores até exigem isso – bancos, telecomunicações e saúde, para citar três. Por fim, as empresas com uma estratégia de Open API obtêm um aumento de quase 13% na receita em relação às que não têm. No entanto, antes de abrir as portas, perceba os riscos e planeje com antecedência: expansão da API, silos e pontos cegos de segurança. Sem mencionar um aumento estatístico em erros de codificação, vulnerabilidades latentes e abuso de privilégios.
5 – Cada API é única.
Uma API pode ser desenvolvida por template e ser única, dando a ela o perfil de risco de dois mundos diferentes. Por esse motivo, os ataques de API geralmente são criados de maneira personalizada para a API. A proteção contra ataques “um e pronto”, como injeções de SQL e teste de código de pré-produção, só o levará até certo ponto. Como uma faca de dois gumes, a natureza rápida e dinâmica das APIs requer atenção especial para erros negligenciados e lógica de negócios especificamente programada, porque os invasores testam regularmente as incursões em ambos.
Lidar com vulnerabilidades de API inerentes se resume à conscientização primeiro. O principal problema é que apenas algumas organizações veem os benefícios sem reconhecer os riscos. Fique esperto e treine internamente ou considere uma plataforma de segurança de API criada para lidar com as mudanças. Um dos principais desafios de proteger APIs é que o cenário evolui constantemente, mudando as ameaças junto com ele. As organizações que prosperarão em 2023 serão as que conseguirem lidar com as mudanças.