0
0
Akamai divulgou uma pesquisa sobre o cenário de ameaças em evolução para interfaces de programação de aplicativos (APIs), que de acordo com o Gartner será o vetor de ataque on-line mais frequente até 2022.
As APIs são inerentemente projetadas para serem pipelines rápidos e fáceis entre diferentes plataformas. Embora essa prioridade de conveniência e experiência do usuário leve as APIs a serem altamente essenciais para muitas empresas, também as torna alvos atraentes para cibercriminosos.
Preocupações de segurança da API muitas vezes não são abordadas
O relatório destaca os padrões frustrantes das vulnerabilidades da API, apesar das melhorias que foram feitas nos Ciclos de Vida de Desenvolvimento de Software (SDLCs) e ferramentas de teste. Muitas vezes, a segurança da API é relegada a uma reflexão tardia na pressa de trazê-las ao mercado, com muitas organizações confiando em soluções tradicionais de segurança de rede que não são projetadas para proteger a ampla superfície de ataque que as APIs podem introduzir.
“De falhas quebradas de autenticação e injeção a simples configurações incorretas, existem inúmeras preocupações de segurança de API para qualquer pessoa que crie um aplicativo conectado à Internet”, disse Steve Ragan, pesquisador de segurança da Akamai e autor do relatório State of the Internet / Security.
“Os ataques de API são subdetectados e subnotificados quando detectados. Embora ataques DDoS e ransomware sejam problemas importantes, ataques a APIs não recebem o mesmo nível de atenção, em grande parte porque os criminosos usam APIs de maneiras que não têm o splash de um ataque de ransomware bem executado, mas isso não significa que devam ser ignorados.”
Nem sempre está claro onde vivem as vulnerabilidades da API. Por exemplo, as APIs geralmente estão escondidas dentro de aplicativos móveis, levando à crença de que elas são imunes à manipulação. Os desenvolvedores assumem que os usuários só interagirão com as APIs por meio da interface de usuário móvel (UI), mas, como observado neste relatório, esse não é o caso.
Chris Eng, Diretor de Pesquisa da Veracode, afirmou: “Compare o Top 10 da OWASP com o Top 10 de Segurança da API OWASP. Este último pretende abordar as “vulnerabilidades únicas e riscos de segurança” das APIs, mas olhe de perto e você verá todas as mesmas vulnerabilidades da web, em uma ordem ligeiramente diferente, descritas com palavras ligeiramente diferentes. Para adicionar mais combustível ao fogo, as chamadas de API são mais fáceis e rápidas de automatizar (por design!) — uma espada de dois gumes que beneficia desenvolvedores e atacantes.”
Picos no tráfego de ataque apontam para vulnerabilidades contínuas da API
Também detalhado no relatório, 18 meses de tráfego de ataques entre janeiro de 2020 e junho de 2021 foram revisados, encontrando mais de 11 bilhões de tentativas totais de ataques. Com 6,2 bilhões de tentativas registradas, o SQL Injection (SQLi) permanece no topo da lista de tendências de ataques na web, seguido pela Inclusão de Arquivos Locais (LFI) com 3,3 bilhões e Cross-Site Scripting (XSS) com 1,019 bilhão.
Embora seja difícil identificar os ataques acima em termos da porcentagem de ataques puramente API, o Open Web Application Security Project (OWASP) lançou recentemente uma lista dos 10 melhores da API Security.
Destaques adicionais do relatório incluem:
- Os ataques de preenchimento de credenciais rastreados ao longo dos 18 meses entre janeiro de 2020 e junho de 2021 permaneceram estáveis, com picos de um único dia de mais de 1 bilhão de ataques registrados em janeiro de 2021 e maio de 2021.
- Os EUA foram o principal alvo de ataques de aplicativos da web durante este período observado, com quase seis vezes a quantidade de tráfego do que a Inglaterra, que ficou em segundo lugar. Os EUA também estavam no primeiro lugar na lista de fontes de ataques, ocupando o primeiro lugar longe da Rússia, com quase quatro vezes a quantidade de tráfego.
- O tráfego DDoS permaneceu consistente em 2021 até agora, com picos registrados no início do primeiro trimestre de 2021. Em janeiro de 2021, 190 eventos DDoS foram registrados em um único dia, seguidos por 183 em março.
FONTE: HELPNET SECURITY