Ignore a segurança da API por sua conta e risco

Views: 550
0 0
Read Time:4 Minute, 36 Second

As interfaces de programação de aplicativos (APIs) estão no centro de quase todas as experiências digitais – seja a entrega de aplicativos móveis que permitem que os consumidores monitorem e personalizem suas rotinas de exercícios usando um dispositivo conectado à IoT, ou facilitando para os proprietários de carros rastrear e compartilhar seus comportamentos de direção no veículo com uma seguradora, ou permitindo serviços de monitoramento remoto que permitem que pacientes com condições crônicas registrem e relatem suas estatísticas diárias e recebam orientações importantes que os ajudem a gerenciar melhor sua saúde.

A segurança e o desempenho da API são fundamentais para envolver os clientes e aumentar a receita, mas notícias recentes sobre vulnerabilidades de segurança que expõem dados privados colocaram a questão do gerenciamento de API em foco. Em muitos casos, falhas simples em tratar a segurança da API com respeito resultaram em algumas violações significativas de dados que afetam milhões de usuários.

O uso da API está crescendo, mas a segurança está atrasada

Na economia digital de hoje, as organizações estão se tornando cada vez mais dependentes de APIs para alimentar aplicativos web e móveis que facilitam o consumo de serviços pelos clientes por meio de dispositivos ou aplicativos conectados. Mas os ataques de API estão aumentando e o Gartner previu recentemente que as APIs se tornarão o principal vetor de ataque até 2022.

Vulnerabilidades de API permitem que cibercriminosos acessem dados confidenciais do usuário, incluindo informações de identidade e cobrança. Com os consumidores cada vez mais dependentes de dispositivos conectados à IoT e serviços de assinatura de entretenimento e estilo de vida, os problemas de segurança da API abrem as portas para ataques de negação de serviço ou à exposição em massa das informações pessoais dos usuários.

Vejamos alguns dos problemas subjacentes a uma vulnerabilidade recente e séria da API que levou à exposição dos dados privados de milhões de usuários globais.

O que causou o incidente?

APIs podem ser classificadas como privadas, parceiras ou públicas. No caso de coisas e aplicativos conectados voltados para o consumidor, as APIs são frequentemente classificadas como privadas e públicas, já que usuários externos não as acessarão usando a intranet privada de uma organização.

Isso, no entanto, cria uma vulnerabilidade potencial se as empresas assumirem que uma API privada não precisa ser protegida. Limitar o acesso à API a usuários autenticados não é suficiente. Neste caso, a empresa em questão confiou em seu aplicativo (em um dispositivo conectado à IoT ou no telefone de um usuário) para “ocultar” as informações de outras pessoas, o que ainda deixou a própria API exposta.

Isso significava que qualquer pessoa, em qualquer lugar, poderia se inscrever para uma nova conta e, em seguida, recuperar as informações do perfil de outros usuários – incluindo seu nome, gênero e localização – incluindo usuários que definiram suas contas como “privadas”, esperando que isso impedisse que suas informações fossem vistas por outras pessoas.

Para ocultar corretamente informações que não deveriam ter sido expostas através da API, como detalhes da conta privada, o código do aplicativo que implementa a própria API deveria ter sido alterado, em vez de simplesmente configurar a API para que certas condições tivessem que ser atendidas (como um token de “usuário autenticado”) antes de conceder acesso.

Neste caso, além de realizar uma correção rápida e inadequada, o processo inadequado da empresa para relatar e abordar um problema de segurança conhecido significou que levou mais de três meses para implementar uma correção final para resolver o problema.

Obtendo o design, implementação e gerenciamento de API certos na primeira vez

Muitas organizações são rápidas em abraçar o potencial e as possibilidades de dispositivos e aplicativos conectados. No entanto, eles frequentemente negligenciam a prática da tecnologia e os processos certos necessários para tornar suas APIs seguras.

Entender as APIs em termos de diferenças privadas/parceiros/públicas e entender que estas não são as mesmas que internas/externas é apenas o começo. As organizações devem ter uma estratégia de API e uma plataforma de gerenciamento de API bem gerenciada para que, antes que as equipes exponham as APIs a qualquer pessoa, uma revisão completa da segurança seja realizada antes de lançar certos projetos de API.

Da mesma forma, qualquer problema identificado precisa ser tratado de maneira altamente estruturada. Isso inclui realizar uma avaliação completa do impacto e escopo das vulnerabilidades relatadas e ter processos em vigor para garantir que todos esses problemas sejam resolvidos em tempo hábil para evitar problemas maiores surgindo mais adiante.

Adotando uma abordagem proativa de gerenciamento de API

À medida que as organizações avançam com o uso de APIs para impulsionar a transformação digital e implantar serviços baseados em aplicativos de nova geração, o risco de acesso não autorizado e exposição a dados está crescendo.

Para evitar danos monetários e à marca futuros, as organizações precisarão implementar uma estratégia sólida de API corporativa e começar a tratar as APIs como cidadãos de primeira classe da empresa. Isso significa ter estruturas em vigor para garantir que o design, a implementação e o gerenciamento da API sejam feitos corretamente, juntamente com um programa interno de API apropriado para gerenciar quaisquer vulnerabilidades de API identificadas de maneira abrangente e rápida.

Prosperar e sobreviver na economia hiperconectada de hoje depende cada vez mais de ter maturidade suficiente da API para garantir que qualquer coisa que se conecte aos servidores de uma organização – dispositivos, aplicativos, clientes – seja gerenciada adequadamente para manter APIs, dados do cliente e a reputação da empresa seguras.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS