As APIs estão em toda parte. Elas alimentam os aplicativos da web que conectam o mundo digital de hoje, e seu uso continuará a crescer à medida que mais organizações adotam iniciativas de transformação digital e mudam para soluções baseadas em nuvem.
Essa expansão da API apresenta grandes desafios de segurança para as organizações. Com essas iniciativas digitais, projetos de migração para a nuvem e arquiteturas de aplicativos ‘API-first’, o desenvolvimento e o uso de APIs proliferaram. No entanto, a maioria das empresas nem sabe quantas APIs existem em sua infraestrutura, muito menos se estão expondo dados confidenciais ou não. Sem um inventário preciso, as organizações não podem proteger suas APIs.
Ao mesmo tempo, a explosão no número de APIs criou uma superfície de ataque maior para os cibercriminosos, que estão empregando técnicas cada vez mais sofisticadas para perpetrar seus ataques. Como as APIs transportam informações críticas, como dados financeiros confidenciais para aplicativos bancários abertos, por exemplo, elas são alvos altamente lucrativos e atraentes.
O clima político, social e econômico volátil de hoje também contribuiu para o número crescente de ataques cibernéticos, tornando a necessidade de estratégias de segurança de API robustas mais premente do que nunca.
Tendências globais estão chegando
Para descobrir como a segurança da API está afetando os negócios, a Salt Security entrou em contato com os participantes das principais feiras de segurança cibernética realizadas em Londres no ano passado. Ela queria saber se essas empresas que estão abrangendo os setores de serviços financeiros, tecnologia e consultoria de negócios se encaixavam nos seguintes itens:
- Priorizou a segurança da API como parte de sua estratégia de segurança cibernética
- Experimentou quaisquer incidentes de segurança de API
- Principais desafios de segurança da API identificados
A SALT descobriu que 40% dos entrevistados consideram a segurança de API uma alta prioridade e já estão avaliando soluções dedicadas, enquanto cerca de um terço (32%) está atualmente construindo uma estratégia de segurança de API. Na prática, isso significa que mais de 70% dos entrevistados já reconhecem a necessidade de segurança de API dedicada.
Essa crescente conscientização sobre os riscos trazidos pela ampla adoção de API provavelmente decorre do fato de que mais da metade dos entrevistados (54%) teve que desacelerar o lançamento de um aplicativo devido a preocupações com a segurança da API – exatamente a mesma porcentagem dos entrevistados globais no mais recente relatório State of API Security da Salt Labs.
Com mais de 40% dos entrevistados cientes de um incidente de segurança de API ocorrido em sua organização no ano passado, não é surpresa que a prevenção de ataques tenha sido identificada como o principal desafio de segurança de API por mais de 43% – novamente, muito alinhado com os entrevistados globais do State of API Security Report com 41%. A prevenção de ataques também foi identificada como o segundo desafio mais urgente para mais de 18% dos entrevistados, colocando-a no topo da lista de prioridades para cerca de 60%.
As ferramentas tradicionais de gerenciamento de API não são suficientes
As ferramentas de gerenciamento de API, como gateways de API e firewalls de aplicativos da Web (WAFs), existem há vários anos. Embora eles, sem dúvida, agreguem valor às pilhas de segurança de hoje, o número crescente de ameaças de segurança de API deixou claro que elas não são suficientes para proteger as APIs de forma eficaz. Isso fica ainda mais evidente quando 60% dos entrevistados da pesquisa da Salt Security afirmaram ter WAFs e gateways de API instalados, mas ainda perceberam que suas APIs são vulneráveis às ameaças cibernéticas de hoje.
Embora os gateways de API ofereçam observabilidade sobre suas APIs e a capacidade de impor controles de acesso e os WAFs possam ajudar a detectar a exploração do tráfego de aplicativos da Web, nenhuma das ferramentas pode fornecer proteção contra as principais ameaças de API, incluindo aquelas listadas no OWASP API Security Top 10.
Na verdade, gateways de API e WAFs não podem detectar vulnerabilidades de API exclusivas, como abuso de lógica de negócios e explorações de autorização, porque dependem de assinaturas e padrões de ataque conhecidos para detecção.
Além disso, ambas as ferramentas dependem do proxy, que é conhecido por desacelerar as comunicações da API. Para proteger o desempenho, as organizações geralmente evitam mediar cada API com um gateway ou WAF, o que significa que não têm visibilidade total de possíveis abusos dessas APIs.
A proteção de Shift Left está baixa na lista de prioridades
Ao incorporar mais etapas de segurança nos processos de design e desenvolvimento, as práticas de Shift Left buscam aprimorar a postura de segurança nas organizações. Embora seja inquestionavelmente benéfico identificar e resolver os problemas de segurança da API no início do ciclo de vida do desenvolvimento, as ferramentas de teste tradicionais geralmente dependem de padrões predefinidos e não foram criadas com as APIs em mente. Além disso, as vulnerabilidades da API nem sempre decorrem do desenvolvimento e várias delas só podem ser identificadas e corrigidas durante o tempo de execução.
Organizações em todo o mundo parecem estar cada vez mais conscientes das limitações da segurança Shift Left. Enquanto menos de um quarto (22%) dos entrevistados no último relatório global State of API Security da Salt Labs identificaram a segurança de pré-produção como seu principal desafio de segurança de API, apenas 10% dos entrevistados na pesquisa identificaram a mudança restante como o principal ou segundo principal desafio que enfrentam.
Embora as práticas de Shift Left tenham mérito, as falhas de lógica de negócios que geralmente estão por trás dos ataques de API atuais exigem análise e proteção contínuas e automatizadas do tempo de execução em todo o ciclo de vida da API.
O que é necessário para lidar com ameaças de API?
Todas as empresas estão enfrentando os mesmos desafios de segurança de API. Isso mostra que as proteções de API dedicadas que podem cobrir todo o ciclo de vida da API e ir além das ferramentas tradicionais são agora uma necessidade global que atingiu o mercado.
Com 94% dos entrevistados da pesquisa global no relatório State of API Security mais recente admitindo que tiveram problemas de segurança de API em produção no ano passado e vulnerabilidades de API de alto perfil fazendo manchetes em todo o mundo, não é surpreendente que a segurança de API tenha sido recebendo cada vez mais atenção.
Para lidar com as ameaças de API sofisticadas e difíceis de detectar de hoje, as organizações precisam desenvolver estratégias abrangentes de segurança de API que forneçam visibilidade contínua, contexto rico em comportamentos de API ao longo do tempo, recursos de prevenção de ataques em tempo de execução e práticas de Shift Left para melhorar a segurança geral.