0
0
Pergunta: Diante do aumento de ataques baseados em API, como as organizações podem garantir que suas APIs sejam resistentes ao comprometimento?
Rory Blundell, fundador e CEO da Gravitee: Empresas de todos os portes e setores dependem rotineiramente de APIs internas para unir seus aplicativos de linha de negócios, bem como de APIs externas para compartilhar dados ou serviços com fornecedores, clientes ou parceiros . Como uma única API pode ter acesso a vários aplicativos ou serviços, comprometer a API é uma maneira fácil de comprometer um amplo conjunto de ativos de negócios com o mínimo de esforço.
As APIs se tornaram um vetor de ataque popular, e a frequência de ataques de API aumentou em impressionantes 681% , de acordo com uma pesquisa recente do Salt Labs . A primeira etapa para proteger suas APIs é seguir as práticas recomendadas, como as recomendadas pela OWASP para proteção contra riscos comuns de segurança de API .
No entanto, as práticas básicas de segurança da API não são suficientes para manter os recursos de TI seguros. As empresas devem seguir as seguintes etapas adicionais para proteger suas APIs.
1. Adote autenticação baseada em risco
As empresas devem adotar políticas de autenticação baseadas em risco, que impõem proteções de segurança em casos de risco elevado. Por exemplo, um cliente de API com um longo histórico de emissão de solicitações legítimas que seguem um padrão previsível pode não precisar passar pelo mesmo nível de autenticação para cada solicitação que um novo cliente que nunca se conectou antes. Mas se o padrão de acesso do cliente de API de longa data mudar – se, por exemplo, o cliente começar repentinamente a emitir solicitações de um endereço IP diferente – exigir uma autenticação mais rigorosa seria uma maneira inteligente de garantir que as solicitações não venham de um cliente comprometido.
2. Adicionar autenticação biométrica
Embora os tokens permaneçam importantes como meio básico de autenticação de clientes e solicitações, eles podem ser roubados . Por esse motivo, combinar autenticação baseada em token com autenticação biométrica é uma maneira inteligente de aprimorar a segurança da API. Em vez de presumir que qualquer pessoa que possua um token de API seja um usuário válido, os desenvolvedores devem projetar aplicativos para que os usuários também tenham que se autenticar usando impressões digitais, varreduras faciais ou um método semelhante, pelo menos em contextos de alto risco.
3. Aplicar a autenticação externamente
Quanto mais complexos seus esquemas de autenticação de API se tornam, mais difícil é impor requisitos de segurança em seu próprio aplicativo. Por esse motivo, os desenvolvedores devem se esforçar para separar as regras de segurança da API da lógica do aplicativo e, em vez disso, usar ferramentas externas, como gateways de API, para impor os requisitos de segurança. Essa abordagem torna as políticas de segurança de API mais escaláveis e flexíveis porque podem ser facilmente implementadas e atualizadas nos gateways de API, em vez de por meio do código-fonte do aplicativo. E o mais importante, permite aplicar regras diferentes a usuários ou solicitações diferentes com base em perfis de risco variados.
4. Equilibre a segurança da API com a usabilidade
É importante não deixar que a segurança seja inimiga da usabilidade. Se você tornar as medidas de autenticação de API muito intrusivas ou onerosas, seus usuários podem abandonar suas APIs, o que é o oposto do que você deseja que aconteça. Evite isso garantindo que as regras de segurança da API sejam rígidas quando houver uma razão para que sejam, mas sem impor requisitos desnecessários.
Os ataques direcionados às APIs não mostram sinais de desaceleração. Ao projetar e proteger APIs, os desenvolvedores devem ir além das recomendações do OWASP para dificultar a exploração da API.
FONTE: DARK READING