As APIs são cruciais no ambiente digital, mas as ameaças à segurança de APIs são tão grandes quanto a sua difusão.
É cada vez mais comum que o sucesso da abordagem – 66% das organizações que responderam ao estudo API Security Trends usam mais de 100 APIs – venha acompanhado com um aumento proporcional de ameaças – de acordo com o mesmo estudo, elas duplicaram em relação a 2023, mas 95% das organizações têm dificuldade de conter incidentes envolvendo suas APIs. Os incidentes têm inclusive adiado projetos. É o que afirmaram 55% dos entrevistados, que dizem que preocupações com a segurança de APIs atrasaram o rollout de novas aplicações.
Está claro que, com a proliferação do uso de APIs como alicerce das aplicações modernas e da troca de dados, tanto internos quanto externos, temos uma superfície de ataque maior, que pode ser porta de acesso a dados e serviços críticos de aplicações. E as empresas sabem disso: só 21% delas acredita que sua abordagem de segurança é efetiva na prevenção de ataques.
Mesmo assim, a mesma pesquisa mostra que apenas 7,5% das empresas implementam testes de APIs dedicados e modelagem de ameaças.
Desenhado o contexto, ficam as questões: quais os principais ataques? Quais as dificuldades que as organizações têm de atuar em segurança de APIs? Que práticas elas deveriam estar aplicando? E, finalmente, como o iPaaS APIPASS ajuda as organizações nesse quesito?
Os principais ataques a APIs
As ameaças às APIs estão crescendo, assim como o número de incidentes. Como alvos estão APIs atualizadas e mantidas, mas acima de tudo as desatualizadas e obsoletas, as chamadas zombies APIs.
As táticas são diversas, envolvendo a exploração de endpoints inseguros até a quebra de protocolos de autenticação, levando à exposição e perda de dados e, no limite, ao uso fraudulento de contas.
De acordo com o OWASP API Security Project, as dez maiores ameaças são, em ordem decrescente, as seguintes:
- Quebra de autorizações a objetos (BOLA): exploração de endpoints de API por meio da manipulação do ID de um objeto enviado dentro da requisição (os IDs são fáceis de identificar, seja na requisição-alvo, em cabeçalhos de requisições ou corpo de requisições.
- Quebra de autenticação: sendo exposto a todos, o mecanismo de autenticação pode ser um alvo fácil mesmo quando requer técnicas avançadas de exploração.
- Quebra de autenticações a nível da propriedade do objeto: exposição de endpoints que retornam todas as propriedades dos objetos.
- Consumo de recursos: múltiplas requisições simultâneas, realizadas a partir de um único computador local ou de uma cloud, levando a um DoS e a impactos na performance de APIs.
- Quebra de autorizações no nível da função: chamadas legítimas para um endpoint de API ao qual o atacante não tem acesso.
- Acesso a fluxos sensíveis: compreensão do modelo de operação de uma API, a fim de automatizar o acesso a ele.
- Falsificação de requisições: exploração de endpoint da API que acessa um dado fornecido pelo cliente.
- Erros e vulnerabilidades em configuração de segurança: tentativas de encontrar falhas, endpoints comuns, serviços em execução com configurações inseguras ou arquivos e diretórios desprotegidos.
- Falhas na gestão do inventário de APIs: acesso a versões antigas de APIs que permanecem em funcionamento, com requisitos de segurança obsoletos e inadequados.
- Consumo inseguro de APIs: identificação e comprometimento de APIs ou serviços integrados a APIs.
De acordo com o estudo State of API Security, 80% das tentativas de ataques envolveram essas ameaças listadas acima. No entanto, a mesma pesquisa mostra que apenas 58% dos pesquisados priorizam a proteção contra elas. Isso significa que as organizações estão com dificuldades de fortalecer a segurança de suas APIs. Vamos falar delas abaixo.
As dificuldades que as organizações têm em segurança de APIs
Já mencionamos o aumento da superfície de ataque gerado pelo aumento do uso e difusão de APIs. Mas as organizações têm outras dificuldades de garantir a segurança de suas APIs.
- Falta de recursos e de profissionais: As organizações carecem tanto de profissionais à frente da elaboração e implementação de um programa moderno e suficientemente robusto de segurança de APIs quanto de ferramentas adequadas para isso. WAF e APIs gateways podem deixar vários pontos cegos na superfície de ataque.
- Orçamentos limitados: As organizações tendem a economizar justamente em itens que consideram adicionais ao core dos sistemas em desenvolvimento, mesmo que fundamentais para a resiliência da operação, como a segurança de APIs.
- Prioridades competitivas: Em muitos casos, prioridades competitivas levam equipes a colocar o desenvolvimento acima da segurança a fim de reduzir ao máximo o time-to-maket.
- Falta de expertise: Em muitos casos, o design e desenvolvimento de APIs ficam com desenvolvedores e não de especialistas em APIs, o que pode afetar a qualidade dos controles de segurança. A isso se adicionam as APIs geradas por IA.
- Falta de estratégia definida: Se não há equipe, orçamento e know-how no desenvolvimento e operação com APIs, logo a organização acaba por não construir uma abordagem consistente em segurança. Faltam requisitos e documentação de APIs, testes adequados de segurança, controle e observabilidade etc.
De maneira geral, falta maturidade em segurança das APIs nas organizações. E as organizações admitem, como vimos, que estão aquém de um patamar aceitável de segurança. Mas então por onde elas podem começar?
Aspectos da segurança de APIs: do design à operação
Em segurança de APIs, não dá mais para confiar apenas nas tradicionais medidas de segurança. Tampouco basta uma ferramenta plug-and-play. Segurança de APIs requer uma abordagem proativa que envolva a visibilidade completa de todo o seu ciclo de vida porque, como se vê, as vulnerabilidades emergem em diferentes estágios, desde o design, passando pelo desenvolvimento até a operação.
O State of API Security recomenda uma estratégia de governança voltada a APIs:
Essa estratégia proporciona um framework estruturado para gerenciar e manter a segurança de todo o ecossistema de APIs, do design e desenvolvimento ao deployment e manutenção contínua.
Algumas boas práticas devem ser seguidas por toda organização:
- Ter um inventário de APIs: Essa visibilidade é fundamental para a organização ter exata ideia de qual é sua superfície de ataque, identificar dados sensíveis acessíveis através delas e qual deve ser sua postura em termos de prioridades. Embora fundamental, a API discovery pode ser extremamente desafiadora para uma organização: apenas 12,1% dos pesquisados pelo State of API Security tem plena confiança de que têm um inventário completo.
- Avaliar o nível de risco das APIs identificadas: avalie se as APIs seguem boas práticas de segurança de APIs. Para isso, aplique testes de segurança e de intrusão: verifique más configurações como as previstas no AWASP API Security Top 10 que podem ser exploradas
- Determinar requisitos de segurança para construir e integrar APIs: A organização precisa estar a par de políticas e práticas mais atualizadas em segurança de API e saber adequá-las a seu porte e suas necessidades.
- Adotar ferramentas modernas de segurança de APIs: Como é muito difícil ter um desenvolvimento impecável, tenha uma plataforma de segurança desenhada para APIs para monitorar, identificar, analisar e tratar ataques antes de que eles causem impactos.
Como a APIPASS garante a segurança no uso de APIs
Autorização para logging de inputs e outputs
O iPaaS da APIPASS não salva os dados trafegados pelas pelos fluxos de integração, por padrão. O armazenamento requer a habilitação manual do usuário. Esse recurso pode ser útil para o desenho de fluxos, por exemplo. Após, ele pode ser desabilitado caso o usuário não deseje que inputs e outputs sejam salvos durante a execução em produção.
TLS
Toda transferência de dados feita pelo iPaaS APIPASS utiliza o protocolo de segurança TLS – Transport Layer Security, que criptografa a comunicação entre os servidores e garante que os dados trafegados sejam confidenciais e seguros.
VPC com subnet privada
As instâncias da aplicação que executam os fluxos de integração então dentro de uma VPC da AWS com uma rede privada que não aceita tráfego vindo da internet e não possui endereços de IP públicos.
Nossos servidores rodam dentro do provedor de Cloud AWS. Eles estão localizados na região do Norte da Virgínia, em duas zonas de disponibilidade.
Veja mais: Arquitetura iPaaS APIPASS: conheça o core da nossa plataforma
Instâncias dedicadas
Por questão de resiliência, mas também de segurança, os clientes que rodam fluxos na infraestrutura da APIPASS têm instâncias dedicadas, customizadas de acordo com a sua necessidade de processamento e de memória.
AWS Secrets Manager
AWS Secrets Manager nos ajuda a proteger os segredos de acesso às suas aplicações, como tokens, usuários e senhas que precisamos utilizar para acessar suas aplicações, serviços e recursos de TI.
NAT Gateway
Mecanismo que garante a conexão segura com serviços externos – como servidores de clientes -, sem que possamos receber conexões não solicitadas desses ambientes.
Pentest
Teste de intrusão, com simulações de diferentes ataques, a fim de identificar vulnerabilidades nos mecanismos de proteção das aplicações da APIPASS.
Segurança de APIs: tenha um parceiro
Segurança de APIs, assim como cibersegurança em geral, está entre as top prioridades dos líderes de TI, seja de organizações que usam APIs, seja das que monetizam.
Com o uso mais comum de ferramentas de integração de fornecedores externos, saber como eles tratam essa questão é um dos requisitos básicos para uma boa decisão.
O iPaaS APIPASS tem o pilar da segurança by design. Hospedado em um cloud privada e com os mecanismos necessários para garantir a filtragem tanto da comunicação que acessa as aplicações quanto a comunicação das aplicações com serviços externos, a solução tem ajudado as organizações a facilitarem a operação segura com APIs em fluxos seguros.
Conheça melhor todas as funcionalidades do iPaaS APIPASS agora. Faça uma demonstração interativa.