É importante conhecer um pouco mais sobre a perigosas “verdades” relacionadas à segurança de APIs, que podem pôr em risco uma empresa
Por Daniela Costa
Para os CISOs é imperativo estar sintonizado com os mais recentes avanços tecnológicos na área de proteção de dados, para evitar colocar não só seus cargos, mas a própria organização, em risco. Com o crescimento do emprego das APIs, a superfície de ataque se expandiu – assim como o volume de tráfego malicioso.
De acordo com o último relatório do Salt Labs State of API Security, 95% das organizações sofreram um incidente de segurança da API nos últimos 12 meses. Além disso, várias empresas foram vítimas de incidentes públicos de API nos últimos anos, incluindo Facebook, Experian, Starbucks e Peloton. Claramente, a atual safra de técnicas de segurança de aplicativos não é mais suficiente para proteger as APIs de violações.
Neste cenário ameaçador, é importante conhecer um pouco mais sobre as cinco perigosas “verdades” relacionadas à segurança de APIs, que podem pôr em risco o futuro de uma empresa.
A arquitetura de “confiança zero” protege totalmente as APIs
O objetivo da confiança zero é restringir o acesso e impor princípios de menor privilégio, mas o acesso é fundamental para o funcionamento das APIs. Outro ponto importante: ainda que muitas ofertas de acesso usem a tecnologia de multifator para autenticar antes de permitir o acesso das APIs, esta tecnologia não impede ataques focados na lógica das APIs. Vale lembrar que 94% das explorações ocorrem em APIs autenticadas.
As ofertas de segurança dos provedores de serviços em nuvem protegem minhas APIs
Embora alguns provedores de nuvem ofereçam ferramentas como gerenciamento de API e gateways de API, esses produtos não fornecem o nível de proteção que as empresas precisam. Recursos limitados de segurança de API na camada de aplicativo e na própria API fazem com que elas fiquem desprotegidas quando dependem apenas das ferramentas do provedor de nuvem.
Como as APIs são a parte lógica dos aplicativos, os clientes em nuvem detêm a responsabilidade final de protegê-las dentro do modelo de responsabilidade compartilhada pela segurança.
WAFs e gateways de API fornecem uma proteção adequada
Os WAFs e os gateways de API não foram projetados para fornecer a visibilidade e os controles de segurança necessários para proteger as APIs. Eles são simplesmente incapazes de detectar certos comportamentos maliciosos.
É, por exemplo, o caso quando os atacantes contornam controles de acesso ou coletam chaves e tokens. Eles também não podem identificar muitos dos problemas específicos da API, como abuso de lógica empresarial e explorações de autorização.
A proteção da carga de trabalho também pode proteger as APIs
As soluções de segurança de carga de trabalho ajudam a fornecer segurança de infraestrutura para garantir que não sejam executadas em uma versão de software vulnerável. Elas também podem bloquear o acesso de usuários externos. O problema é que elas não fornecem proteção de APIs ou análise de contexto de nível de aplicativo.
A segurança está presente desde quando os desenvolvedores constroem as APIs
A realidade é que, embora a segurança seja uma preocupação constante durante todo o ciclo de criação de uma API, as ferramentas de teste do desenvolvedor, ainda que muito valiosas, não podem identificar todas as vulnerabilidades.
Há diversos problemas de segurança que não podem ser detectados, como parte de projeto automatizado, desenvolvimento e compilação, com ferramentas comuns de análise de segurança e testes. As APIs precisam ser executadas para que as falhas lógicas sejam detectadas.
Em resumo, as iniciativas internas de digitalização, os aplicativos móveis e os serviços baseados na Web contribuem para o aumento do uso de APIs.
Hoje, no novo cenário onde dezenas ou centenas de APIs estão sendo rapidamente construídas, não funcionam mais as técnicas com as quais as empresas as protegiam no passado. Esta realidade ressalta a importância de se complementar a estratégia de segurança com tecnologia baseada em aprendizagem de máquina e inteligência artificial.
Sobre a Salt Security
A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel. Para mais informações, visite https://salt.security.
API de certificado digital na nuvem: como funciona e quais as vantagens
Pesquisa mapeia o avanço do Edge Computing e das APIs nas operadoras de Telecom do Brasil e do mundo
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!
