Por Grainne McKeever
O cenário digital está evoluindo rapidamente, com as APIs servindo como a espinha dorsal do desenvolvimento moderno de software. No entanto, em meio a essa inovação, existe uma ameaça silenciosa: a prevalência de APIs desconhecidas. Essas APIs, muitas vezes operando fora dos canais autorizados, representam riscos significativos à segurança das organizações. Desde APIs ocultas, criadas com boas intenções, até pontos de extremidade não totalmente desativados, que abrigam vulnerabilidades e APIs sem autenticação expondo dados sensíveis, os perigos são inúmeros.
APIs ocultas: ameaças invisíveis à espreita
Uma API oculta, também conhecida como API não documentada ou desconhecida, opera fora dos canais oficiais e monitorados dentro de uma organização. Criadas a partir de intenções bem-intencionadas de versões anteriores de software, as APIs ocultas representam um risco considerável de segurança se forem manipuladas e exploradas por atores mal-intencionados. Esse risco pode comprometer dados sensíveis, levando a violações e não conformidade. Reconhecendo a necessidade de medidas de segurança abrangentes, o Imperva API Discovery desempenha um papel crucial ao revelar APIs anteriormente negligenciadas.
Dados do relatório State of API Security da Imperva mostram uma média de 29 APIs ocultas por conta, destacando a natureza disseminada desse desafio de segurança. A descoberta de APIs se torna um primeiro passo fundamental no desenvolvimento de uma estratégia robusta de segurança de APIs, garantindo que as organizações tenham uma compreensão completa do seu ambiente digital.
Pontos de extremidade depreciados: um risco inesperado
Um ponto de extremidade depreciado refere-se a um caminho ou URL específico dentro de uma API que foi marcado para remoção em versões futuras do software. Quando um ponto de extremidade é depreciado, significa que os desenvolvedores ou mantenedores da API decidiram que ele não deve mais ser usado, devido a possíveis vulnerabilidades de segurança, funcionalidades obsoletas ou melhores alternativas disponíveis. No entanto, apesar de ser marcado como depreciado, o ponto de extremidade pode continuar acessível e funcional por um período. Isso pode ocorrer por diversos motivos, como suporte a legados ou adoção lenta da nova versão da API. Em alguns casos, esses pontos são simplesmente ignorados durante o processo de desenvolvimento ou manutenção, o que leva à sua presença contínua dentro da API.
A permanência de pontos de extremidade depreciados por um longo período levanta preocupações significativas, principalmente devido à sua vulnerabilidade a explorações conhecidas que foram corrigidas em versões mais recentes. Não aposentar esses pontos a tempo pode expor sistemas a ataques de atores mal-intencionados, amplificando o risco de violações de segurança. APIs desatualizadas geralmente carecem das atualizações de segurança presentes em alternativas mais recentes.
Para mitigar os riscos associados aos pontos de extremidade que não foram totalmente depreciados e ainda estão presentes na arquitetura da aplicação, as equipes de segurança devem realizar auditorias regulares, identificando e aposentando esses pontos. O monitoramento contínuo se torna uma ferramenta crítica para detectar tentativas de exploração de vulnerabilidades associadas a essas APIs antigas. Os desenvolvedores têm um papel fundamental nesse processo, sendo incentivados a priorizar atualizações regulares, garantindo que os pontos depreciados sejam substituídos por alternativas mais seguras.
A análise do Imperva API Discovery destaca uma média de 16 pontos de extremidade depreciados por conta, sublinhando a urgência de abordar essa ameaça latente nos ecossistemas organizacionais.
Pontos de Extremidade Sem Autenticação: Equilibrando Velocidade de Desenvolvimento e Segurança
Um ponto de extremidade de API sem autenticação é uma rota ou URL dentro de uma API que não exige nenhuma forma de autenticação ou autorização para acesso. Em outras palavras, os clientes podem fazer solicitações a esses pontos sem a necessidade de fornecer credenciais ou tokens para verificar sua identidade ou permissões. Pontos de extremidade sem autenticação são comuns devido à necessidade de desenvolvimento ágil, muitas vezes priorizando a funcionalidade em detrimento da segurança nas fases iniciais. Essas APIs também podem se originar de versões de software mais antigas, sem medidas robustas de segurança, persistindo ao longo do tempo sem protocolos adequados de autenticação à medida que os sistemas evoluem.
A existência de APIs sem autenticação representa um risco substancial para as organizações, potencialmente expondo dados sensíveis ou funcionalidades a usuários não autorizados, levando a vazamentos de dados ou manipulação de sistemas. Mecanismos de autenticação mal implementados permitem que invasores explorem falhas e assumam a identidade de outros usuários, comprometendo a segurança geral da API. A autenticação quebrada é uma ameaça tão significativa para as APIs que está classificada como o risco número 2 no OWASP API Security Top 10.
O processo de descoberta de APIs da Imperva revela uma média de 21 pontos de extremidade sem autenticação por conta, destacando a necessidade de as organizações fecharem essa lacuna de segurança e aumentarem as medidas de proteção.
Conclusão
Os riscos associados às APIs desconhecidas exigem uma estratégia de segurança proativa e abrangente. O monitoramento contínuo, por meio da descoberta de APIs e avaliação de riscos, além da identificação e proteção de dados sensíveis como parte de uma abordagem holística para a segurança de APIs — que inclui WAF e proteção avançada contra bots — ajudará a proteger contra os riscos apresentados por APIs ocultas, pontos de extremidade depreciados e APIs sem autenticação.
Os riscos de APIs sem verificações de autorização e acesso adequados são discutidos em nosso webinar “Desenvolva uma Estratégia Robusta de Segurança de API”, disponível para download aqui.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.