0
0
O surgimento de arquiteturas de computação em nuvem fez com que as empresas repensassem a maneira como os aplicativos são dimensionados. Impetíveis foram colocados nas empresas para se afastar da implantação de aplicativos full-stack via infraestrutura, como máquinas virtuais, e, em vez disso, adotar uma abordagem de microsserviços criando APIs compostas por vários serviços interoperáveis.
Até 2023, mais de 50% das transações B2B serão realizadas por meio de APIs em tempo real em comparação com os meios tradicionais. – Gartner
O mercado de APIs está crescendo, assim como o cenário de ameaças. Embora os gateways de API desempenhem um papel vital no gerenciamento e na entrega de APIs, eles fornecem uma variedade de funcionalidades essenciais para a segurança da API. Pode ser tentador aderir apenas ao gateway da API para atender aos objetivos de segurança. No entanto, abordar os riscos emergentes das APIs requer várias novas técnicas sofisticadas fora do escopo dos gateways de API convencionais.
Primeiro, vamos entender o aperto de mão entre a API e o gateway da API.
O que é uma API?
API, o acrônimo de Interface de Programação de Aplicativos, é uma maneira de os programas de computador interagirem uns com os outros, atuando como um intermediário semelhante a um sistema de controle de tráfego em cidades movimentadas que garante que o trânsito entre diferentes áreas seja feito sem problemas.
O que é um gateway de API?
Em uma arquitetura típica de microsserviços, um gateway de API é uma ferramenta de gerenciamento de instruções e protocolos que lida com solicitações de clientes e decide para quais microsserviços encaminhá-las para obter uma resposta.
Pense nisso como uma espécie de policial de trânsito ou central telefônica, garantindo que as solicitações sejam entregues nos lugares certos para que possam ser tratadas adequadamente no caminho para obter uma resposta.
E com os microsserviços, a necessidade de gateways de API eficientes tem que estar lá. Os principais fornecedores de nuvem perceberam que os gateways de API também poderiam fornecer uma maneira conveniente para as empresas colocarem seus serviços em nuvem em funcionamento.
Que segurança da API implica?
A segurança da API requer a implementação de estratégias e procedimentos que possam ajudar a mitigar as ameaças à segurança de sua API. Isso inclui maneiras de evitar falhas de gerenciamento explícitas e implícitas, bem como falhas de código.
Para manter as APIs seguras, deve haver um plano em vigor, que deve conter padrões de auditoria, sistemas de controle de alterações, processos de gerenciamento, medidas de controle de acesso, etc.
Embora os gateways de API ofereçam aos desenvolvedores uma camada de segurança mais visível para chamadas de interface de programação de aplicativos (API), ainda há espaço para melhorias. Se um gateway não conseguir se adaptar aos seus recursos, o gerenciamento de vulnerabilidades se torna um desafio incrível.
De acordo com o Gartner, até 2022, os abusos da API passarão de um vetor de ataque pouco frequente para o mais frequente, resultando em violações de dados para aplicativos da web corporativa.
Mas por que a segurança do gateway da API não é boa o suficiente?
Não vamos misturar gateways de API com segurança de API, pois o primeiro, com seu recurso de controle de acesso, geralmente faz parte da segurança da API. Os desenvolvedores garantem que os aplicativos funcionem corretamente e façam o que são projetados para fazer, mas os atacantes são os que encontram maneiras inteligentes de transformar aplicativos em armas. Como conclui o documento Top 10 de Segurança da API OWASP, as ameaças de segurança da API incluem inúmeras vulnerabilidades que acompanham os ataques tradicionais de aplicativos da web.
Como os serviços que suportam APIs agora valem milhões de dólares, os hackers tentarão encontrar novas maneiras de obter chaves não seguras e invadi-las. Os três principais fatores podem ser:
- Ataques sofisticados que alavancam um token de API válido podem atingir com sucesso a lógica de negócios de aplicativos e vulnerabilidades da camada de dados.
- Os ataques cibernéticos obtêm quilometragem de um token de API válido para atacar a lógica de negócios ou a camada de dados de um aplicativo podem ser bem-sucedidos, pois são projetados e projetados para direcionar vulnerabilidades que permitem o uso da API.
- O principal obstáculo com os gateways da API é que ele só pode monitorar endpoints. Ainda assim, ele não descreve completamente o esquema completo da API (API RESTful e as formas de interação da API) de quais serviços ele disponibiliza para consumo.
Além disso, três riscos comuns que podem arriscar a segurança da API são:
Abordagem sem brilho em relação à contagem de APIs
A falta de informações sobre o número total de APIs públicas, parceiras, privadas e compostas impede que as equipes de segurança compreendam a exposição e o risco reais de uma API.
Hackers vs. desenvolvedores
Os hackers usam ferramentas e têm métodos ainda mais sofisticados para invadir APIs no nível de um desenvolvedor. Eles podem tirar proveito de erros sutis para mapear a API, entender sua estrutura e encontrar vulnerabilidades no próprio código.
Quem se importa com a nossa API de pequenas empresas?
As empresas menores sempre não têm a segurança que as grandes organizações têm e estão mais em risco do que as maiores, porque não podem fornecer as medidas necessárias para proteger totalmente seus dados.
WAAP – Uma solução para proteger suas APIs
O WAAP (Proteção de Aplicativos Web e API) é essencial porque as ferramentas de segurança tradicionais, como firewalls e gateways, nem sempre podem fornecer a defesa de que você precisa para evitar ataques de API.
Considere que as soluções tradicionais de Web Application Firewall são projetadas para proteger contra atividades maliciosas feitas por solicitação. Isso significa que eles não vão parar todas as formas de phishing, incluindo ataques de spear-phishing.
O hacker usa as informações fornecidas pela vítima por e-mail para promover um ataque diretamente dentro do ambiente da empresa. O WAAP garante que as APIs sejam protegidas e não levem a exposições de segurança. A solução WAAP está centrada em quatro recursos principais:
- Proteção contra DDoS
- Firewall de Aplicativos Web de Próxima Geração (WAF)
- Gerenciamento de bots
- Proteção da API
Ao monitorar todo o tráfego da Internet que entra em aplicativos com uma solução WAAP, uma empresa pode detectar atividades maliciosas e garantir que apenas clientes confiáveis estejam fazendo transações legítimas na plataforma.
A solução WAAP utiliza uma abordagem de segurança de aplicativos totalmente gerenciada e baseada em risco para gerenciar aplicativos da web que protegem contra atividades anormais em ameaças cibernéticas destinadas a manipular o processo transacional.
Conclusão
Entendemos que a segurança da API deve ir além da aplicação da política de tráfego e dos cabeçalhos HTTP. Ele deve fornecer políticas refinadas sob seu controle, permitindo que você proteja sua API do zero, garantindo operações seguras.
FONTE: HELPNET SECURITY