A proliferação de APIs os marcou como os principais alvos de invasores mal-intencionados . Com relatórios recentes indicando que as vulnerabilidades de API estão custando às empresas bilhões de dólares anualmente, não é de admirar que elas estejam no topo da mente de muitos profissionais de segurança cibernética.
Para combater esse desafio, é essencial que as organizações adotem uma abordagem de segurança em primeiro lugar para lidar com a expansão das APIs, priorizando a proteção das APIs desde o início.
Comece com visibilidade
Como diz o ditado, você só pode proteger o que pode ver. Por vários motivos, os endpoints de API geralmente são criados por desenvolvedores sem supervisão das equipes de TI ou segurança. Quando isso acontece, as APIs não são gerenciadas por meio de controles padrão de segurança e conformidade. É por isso que é essencial descobrir e inventariar todas as APIs que possam existir em sua infraestrutura para entender como elas interagem, quais dados expõem e quais proteções estão em vigor, se houver.
Para começar, você pode empregar ferramentas contínuas de descoberta de API (fora da banda ou em linha) para ajudá-lo a identificar, categorizar e mapear os endpoints de API existentes em sua organização. Mapear o cenário de API em constante mudança pode ser difícil, portanto, certifique-se de que suas ferramentas aproveitem os recursos mais recentes de aprendizado de máquina (ML) para aprender a diferença entre o tráfego de API normal e possíveis ameaças maliciosas. Isso ajudará você a definir a linha de base e encontrar as chamadas APIs de sombra que foram esquecidas com o tempo ou foram criadas sem governança e controles adequados.
Abordar vulnerabilidades críticas de segurança
Depois de identificar suas APIs e criar um inventário, você pode trabalhar com os desenvolvedores para depreciar endpoints antigos, desnecessários ou não autorizados e, em seguida, começar a avaliar o risco de segurança de todos os legítimos com base em fatores como a confidencialidade dos dados que eles manipulam e suas criticidade para as operações da sua organização. Essa avaliação ajudará a priorizar os esforços para lidar primeiro com os riscos de segurança mais significativos e trazer todos os endpoints não seguros anteriormente para o fluxo de controles de segurança de aplicativos e APIs para monitoramento e aplicação no futuro.
Infelizmente, mesmo em 2023, o controle de acesso impróprio, incluindo autenticação e autorização, continua sendo uma das principais vulnerabilidades de segurança para APIs. Isso ocorre devido a vários motivos, incluindo descuido, erro humano, pressa ou outras causas. Certifique-se de auditar seus endpoints de API existentes para políticas de controle de acesso adequadas e para quaisquer erros de lógica de negócios que forneçam acesso irrestrito a dados confidenciais.
Por fim, considere maneiras de reduzir a complexidade, especialmente se você estiver operando em várias nuvens ou em uma mistura de datacenters locais e na nuvem. De acordo com nosso relatório de estratégia de estado de aplicativos de 2023 , a complexidade da ferramenta e a dificuldade de aplicar políticas de segurança consistentes aumentam a lista de desafios de várias nuvens . O uso das mesmas ferramentas em gateways de API, WAFs e/ou WAAPs e outras infraestruturas, independentemente do ambiente, ajudará a reduzir erros e possibilitará a aplicação de políticas de segurança consistentes.
Corrigir práticas de implantação de API
A segurança da API não é responsabilidade exclusiva dos profissionais de segurança de TI. Na maioria das organizações, é uma responsabilidade compartilhada que começa no início do ciclo de vida do desenvolvimento de software. Depois de abordar as vulnerabilidades mais urgentes, é hora de trabalhar com as equipes de engenharia para corrigir as lacunas de implantação.
Em muitas organizações, isso começará com a adoção de operações de API orientadas por contrato para melhorar a colaboração. Geralmente, esse é um dos primeiros passos para o design de software API-first, que prioriza a interoperabilidade ao escrever como a API funcionará e será protegida antes que qualquer código seja escrito.
O uso de um contrato de API padrão, legível por humanos e máquinas, como a Especificação OpenAPI (OAS) para APIs RESTful, tem benefícios adicionais. Ao redigir o contrato primeiro e revisá-lo com as partes interessadas, você pode garantir que desenvolvedores, operadores de infraestrutura e equipes de segurança estejam todos na mesma página.
Além disso, seus gateways de API, WAFs e outras tecnologias e infraestrutura de segurança devem funcionar com o contrato de API para fornecer integração e automação de CI/CD contínuas em todo o ciclo de vida do software e da API. Automatizar a implantação e a segurança da API ajuda a evitar que as APIs de sombra entrem na implantação, para que você possa lidar com as vulnerabilidades antes que as APIs entrem em produção.
Definir políticas e processos de governança de API
A correção das práticas de implantação de API exige que equipes de engenharia, operadores de infraestrutura e equipes de segurança se reúnam e estabeleçam políticas de governança de API para todo o ciclo de vida da API, bem como os processos pelos quais serão aplicadas.
Quando mal executada, a governança da API geralmente impõe requisitos onerosos que atrasam as equipes de engenharia. No entanto, quando bem executada, a governança da API reduz o trabalho, agiliza as aprovações e permite que diferentes equipes em sua organização funcionem de forma independente.
Um modelo federado, em que os gateways de API e outras infraestruturas compartilhadas são fornecidas como um serviço, geralmente oferece o melhor equilíbrio entre controle para equipes de segurança e infraestrutura e agilidade para equipes de engenharia. Essa abordagem permite que as equipes de TI e operações definam proteções para segurança e conformidade, enquanto capacita os desenvolvedores de API a implantar APIs como código e gerenciar configurações refinadas para seus serviços.
Conclusão
A expansão da API geralmente surge quando desenvolvedores, operadores de infraestrutura e equipes de segurança de TI não têm alinhamento e clareza sobre as responsabilidades compartilhadas para gerenciamento e segurança da API. Isso pode ser exacerbado por arquiteturas distribuídas complexas com muitas equipes diferentes criando e implantando APIs em uma ampla variedade de ambientes. É comum que a complexidade da API e os desafios de segurança aumentem à medida que o número de conexões e o número de APIs aumentam.
A luta contra a proliferação de APIs e seus riscos de segurança associados será uma batalha contínua no cenário tecnológico atual. Ao tomar medidas proativas para combater a proliferação de APIs com uma mentalidade de segurança em primeiro lugar agora, as organizações podem enfrentar os desafios enquanto mantêm a integridade e a segurança de sua infraestrutura de TI.
FONTE: HELP NET SECURITY