0
0
Os modelos de segurança para interfaces de programação de aplicativos não acompanharam os requisitos de um mundo não-perimetral, diz Forrester.
As interfaces de programação de aplicativos (API) que conectam aplicativos corporativos e dados à Internet estão sujeitas às mesmas vulnerabilidades que os aplicativos web regulares e precisam ser tratadas com pelo menos o mesmo rigor.
De fato, o acesso externo direto às atualizações de transações e aos dados em massa que as APIs permitem submetê-los a ameaças adicionais que os aplicativos da Web raramente encontram, de acordo com a Forrester Research.
Em um relatório resumindo alguns dos principais problemas de segurança em torno do uso da API, a empresa de analistas alertou sobre as violações da API se tornando cada vez mais comuns e o próximo grande vetor de ataque para atores de ameaças.
“Como as organizações estão protegendo seus aplicativos web, elas não podem esquecer suas APIs”, diz Sandy Carielli, analista da Forrester. “Os profissionais de segurança devem ser construídos especificamente na segurança da API e não assumir que ela está enrolada em suas proteções de aplicativos web existentes.”
Uma API basicamente permite que aplicativos ou componentes de aplicativos se comuniquem entre si pela Internet ou por uma rede privada. Inicialmente, a maioria das organizações as usava dentro de uma rede privada segura ou as acessava através de canais de comunicação seguros. Mas, cada vez mais, as organizações começaram a usar APIs para abrir acesso a aplicativos e dados internos para parceiros, fornecedores, clientes e outros. Muitos veem as APIs como fundamentais para permitir iniciativas de transformação digital e impulsionar uma nova geração de aplicativos móveis.
Uma pesquisa com 1.500 desenvolvedores, arquitetos, profissionais de QA e outros realizada no início deste ano pela SmartBear encontrou 77% das organizações representadas na pesquisa, ambas desenvolvem e consomem APIs. O caso de uso mais comum para APIs continua sendo a interoperação entre ferramentas internas, equipes e sistemas e reduzindo o tempo e o custo do desenvolvimento. Outros casos de uso popular incluem parceria com organização externa, ampliação da funcionalidade de produtos ou serviços e absorção de dados e recursos de produtos externos.
De acordo com Forrester, muitos dos problemas de segurança em torno das APIs têm sido anos em andamento e têm a ver com a mudança das APIs baseadas em protocolos de mensagens soap para as APIs de descanso de hoje.
Anteriormente, as APIs de sabão eram tipicamente acessadas com segurança por VPNs ou conexões criptografadas bidirecionadas. As APIs REST, por outro lado, são projetadas para acesso através de navegadores e aplicativos móveis. Quando um usuário de celular faz uma reserva aérea em seu telefone, por exemplo, uma API REST transmite as instruções do usuário para os aplicativos back-end do fornecedor de serviços de viagem ou companhia aérea e entrega a resposta de volta ao usuário.
As APIs REST estão abertas para exploração através de ferramentas de inspeção e hacking comumente disponíveis no lado do cliente, assim como os aplicativos web estão protegidos. Práticas recomendadas de segurança de longa data, como acesso a dados de menor privilégio e validação de dados do lado do servidor, são, portanto, tão críticas para as APIs quanto para aplicativos web, diz Forrester.
As ferramentas para explorar APIs não são complicadas, diz Carielli.
“Proxies básicos que os atacantes usam para manipular pedidos DE HTTP e HTTPS também se aplicariam aqui”, diz ela. “Às vezes é tão simples quanto alterar um parâmetro na solicitação HTTP.”
Endpoints desonestos
Além disso, as APIs REST podem fornecer acesso direto às atualizações de transações e outros dados importantes em sistemas back-end. Isso porque as empresas podem muitas vezes não rastrear todos os pontos finais da API enterrados profundamente dentro de seus aplicativos móveis ou aplicativos web ou colocar controles adequados no lugar para autenticar e verificar chamadas de API. Esses pontos finais desonestos podem colocá-los em risco aumentado de acesso não autorizado e exposição de dados, diz Forrester.
Carielli diz que se uma API acessível ao público não passar pelo gateway de autenticação e autorização de API da organização ou através de um firewall de aplicativo web que possa validar o formato de solicitação, então uma parte externa pode ter acesso a qualquer dado ao qual a API tenha acesso.
“Lembre-se que as APIs servem para disponibilizar vários dados e funcionalidades de aplicativos para desenvolvedores fora da organização”, diz Carielli. “Como os pontos finais da API podem ser acessíveis a qualquer pessoa externa que chame a API, um ponto final desonesto que retorna informações confidenciais é de alto risco.”
Um resultado comum de pontos finais de API não autenticados é que os dados do cliente são expostos. Por exemplo, se uma API para acessar dados de transações de clientes for acidentalmente implantada sem colocar as verificações adequadas de autenticação e autorização, qualquer pessoa que tenha usado a API poderá ver muitas informações confidenciais dos clientes, diz Carielli.
A grande diversidade de tecnologias, projetos e contextos em que as APIs são usadas torna a segurança delas um desafio, disse Forrester em seu relatório. A empresa de analistas delineou várias medidas que as organizações podem tomar para reforçar a segurança da API.
Por exemplo, no desenvolvimento de APIs, as organizações precisam prestar atenção na fase de design a medidas de segurança, como negar padrão e verificar quaisquer dados fornecidos pelo cliente. As organizações devem garantir que todo o tráfego de API, assim como o tráfego de aplicativos da Web, seja criptografado, mas de forma a não afetar o desempenho. Também é fundamental a necessidade de autenticar chamadas de API em cada camada e parar de pensar em APIs apenas como uma camada de interface entre aplicativos, disse Forrester.
“Se a API finalmente toca em arquiteturas de dados, legados ou aplicativos modernos, ou mesmo hardware ou firmware, trabalhe através desses pontos de toque em colaboração com os proprietários de segurança dos sistemas relevantes”, aconselhou a empresa de analistas.
FONTE: DARK READING