0
0
De longe, a maior tendência deste ano que observamos na terra das APIs é que toda organização tem APIs sombra e zumbi e são um problema muito maior do que a maioria das pessoas quer acreditar. Talvez eles estejam adotando a abordagem “Se eu nunca vi, então ela não existe” para a segurança da API. Isso também é conhecido como a abordagem “Se eu não sei sobre isso, não posso ser responsabilizado pela violação”. De qualquer forma, você certamente será mordido no seu-sabe-o quê por não ser mais proativo.
Desmascarando APIs de sombra e zumbis
APIs sombra são as que são implantadas sem o conhecimento das equipes de segurança e, muitas vezes, sem proteções adequadas. A maioria das equipes de segurança tem uma boa compreensão das APIs de missão crítica que criaram para impulsionar seus aplicativos de negócios. O problema surge quando APIs de terceiros são adicionadas para fornecer funcionalidade adicional sem serem divulgadas para revisão de segurança, ou endpoints de API são implantados acidentalmente ou com a intenção de que sejam limpos mais tarde (mas raramente são).
APIs zumbis geralmente surgem quando versões antigas e menos seguras de suas APIs são deixadas para viver outro dia. Geralmente há algum bom raciocínio comercial para deixá-los acessíveis, como “Não podemos forçar atualizações porque alguns de nossos clientes têm dispositivos antigos”. Mas quando o V17/profile/edit requer autenticação, e o V3/profile/edit não, as únicas pessoas que acabarão sorrindo são os operadores de bots que fazem essa descoberta.
Por algum motivo, encontrar APIs de sombra e zumbis parece ser uma tarefa muito mais fácil para os maus atores do que para equipes internas de segurança e risco. (Ou talvez eles estejam um pouco mais motivados.)
Hackers e atacantes encontram essas APIs através da enumeração de força bruta usando ferramentas como Burp Intruder ou fFuf e reconhecimento de API, como ler seus documentos externos da API ou a documentação do Swagger acidentalmente acessível à esquerda, que acontece com muita frequência!
Muitas vezes vemos atacantes tentarem contornar a proteção de bots procurando desvios sutis para APIs “boas” conhecidas. Por exemplo, se a API de login for /api/auth/login, os invasores tentarão variações que contenham uma barra ou traço à direita que serão difíceis de detectar, como:
- /api/auth/login1
- /api/auth/login/
- /api/auth/login%2A
Suas APIs desprotegidas ESTÃO sendo direcionadas
Um inventário preciso de API é necessário para garantir que você tenha proteções adequadas. Se você não sabe que existe um endpoint de API, suas ferramentas de mitigação de bots não podem defendê-lo. A maioria das organizações realmente não tem ideia de quantas APIs elas expuseram. Fizemos uma pesquisa recentemente e descobrimos que apenas 16% das organizações usam uma ferramenta automatizada para inventariar suas APIs, enquanto 64% fizeram inventários manuais. No entanto, os inventários manuais são incrivelmente imprecisos. Por exemplo, o inventário manual de um cliente subestimou suas APIs em 2,5X, criando uma terra zumbi (API).
Como a maioria das organizações tem proteções decentes para seus endpoints de login óbvios e outras APIs críticas, são as APIs zumbis e sombras que se tornaram as guloseimas saborosas com as quais os bots se deleitam. Alguns dos maiores ataques observados e bloqueados pelo nosso produto Bot Defense aconteceram em APIs sombra. Um deles foi um ataque a uma API de cartão-presente duplicada que aumentou o tráfego total em 28X, e outro cliente teve uma API sombra atingida com 20 milhões de solicitações em um ataque de preenchimento de credenciais de uma semana que gerou um aumento de 1000% no tráfego.
Sobrevivendo ao apocalipse zumbi
Se você não tem monitoramento ou proteção de bots para suas APIs de zumbis e sombras, como saberá que tem atividades maliciosas nessas APIs? Aqui estão algumas coisas para procurar que podem indicar um ataque contra uma API desconhecida:
- Picos nas conexões do banco de dados do usuário que podem sinalizar que mais usuários estão fazendo login do que o normal
- Picos em consultas a serviços pós-autenticação, como verificação de saldo, detalhes do perfil ou qualquer outro serviço que possa ser de valor para um fraudador
- Estresse em bancos de dados apoiados, como o banco de dados de inventário de um varejista, ou picos de erros
Infelizmente, se você não tem uma solução de segurança de API em vigor que encontre e proteja suas APIs shadow, é provável que, no momento em que você descobrir esses tipos de ataques, o operador de bot já tenha passado para uma nova API shadow.
É fundamental hoje que suas soluções de segurança e prevenção de bots de API possam se adaptar tão rapidamente quanto os bots e garantir proteção a longo prazo para toda a sua pegada digital. Considere soluções que sejam igualmente responsivas ao cenário de ameaças em constante mudança, bem como ao seu ambiente de aplicativos em constante mudança. Criamos este guia que orienta você pelos critérios necessários para soluções de segurança de API e prevenção de bots.
Embora Hollywood sugira que usar os seis F’s – Combate, Fuga, Fogo, Comida, Primeiros Socorros e Conserto e Reparo – é o plano certo para sobreviver a um ataque zumbi real, sobreviver a um ataque às suas APIs de zumbis e sombra requer os três Ds: Detectar, Descobrir e Defender. A detecção começa trazendo todas as suas APIs de sombra para a luz e terminando com essas APIs zumbis pela última vez. Cabe a você usar um lança-chamas, facão ou motosserra para se defender.
FONTE: HELPNET SECURITY