Quatro suposições que impedem a proteção eficaz da API

0
304

This post is also available in: Inglês Francês Alemão Italiano Espanhol

Não é segredo para ninguém que toda a aplicação moderna está fazendo uso de APIs para interagir com seus diferentes componentes, seus usuários e às vezes com serviços externos. Na verdade, o uso da API aumentou em 2021. De acordo com pesquisas de mercado, o tráfego de ataque da API triplicou em crescimento em comparação com o tráfego geral da API. Além disso, a Gartner estimou que, em 2021, mais de 50% de todos os incidentes de roubo de dados foram rastreáveis a APIs não seguras.

Então, por que a proteção da API não acompanhou o uso da API? Com base no que ouvimos das empresas sobre suas estratégias de proteção de API, parece que muitos estão fazendo algumas suposições falsas que estão deixando suas APIs vulneráveis e expostas a ameaças.

Suposição nº 1: Meu WAF protege minhas aplicações e suas APIs

Embora essa suposição esteja correta até certo ponto, as APIs estão expostas a muitos vetores de ameaças que a maioria dos firewalls de aplicações web (WAF) não pode proteger.

Para começar, a maioria das soluções WAF foi desenvolvida para proteger as vulnerabilidades de aplicações web. As APIs, por outro lado, exigem análises específicas, como a capacidade de analisar seu conteúdo e compará-lo com o esquema específico da API. Os WAFs padrão geralmente não incluem esses tipos de recursos.

Em segundo lugar, a maioria das soluções WAF (especialmente serviços gerenciados por WAF na nuvem) implementam apenas modelos de segurança negativos. Isso limita as soluções de fornecer proteção contra ataques de dia zero, que são ataques desconhecidos para os quais ainda não existe assinatura. A lista dos dez principais vetores de ameaças da API OWASP inclui muitos tipos de ataques que simplesmente não podem ser cobertos por um modelo de segurança negativo. Eles exigem um modelo de segurança positivo e análise comportamental para identificar se a chamada da API é mal-intencionada ou não – um recurso que a maioria dos WAFs simplesmente não tem.

Por fim, também existem ameaças automatizadas, incluindo bots maliciosos, que podem representar um grande problema para as APIs. Como é possível distinguir entre um bot malicioso e uma chamada máquina a máquina legítima? Soluções avançadas de gerenciamento de bots, que também podem analisar chamadas de APIs, são necessárias para proteger contra ataques de bots maliciosos, como controle de contas (account take over, ATO), rastreamento de dados e outros tipos de ataques Dos de aplicação. Atualmente, nenhum WAF oferece essa funcionalidade.

[Você também pode se interessar por: Cinco armadilhas comuns na proteção de aplicações]

Suposição nº 2: Meu gateway de API gerencia e protege minhas APIs

Os gateways de API sempre foram desenvolvidos para gerenciar o ciclo de vida de APIs, traduzir protocolos, rotear chamadas de API para o destino correto e gerenciar cotas para garantir que os recursos do servidor que lidam com as chamadas de API não sejam esgotados ou abusados.

Além disso, os gateways de API autenticam a entidade que faz a chamada de API para garantir que a entidade tenha autorização para efetuar cada chamada específica. Alguns gateways de API também têm um mecanismo integrado baseado em assinatura para proporcionar proteção adicional às chamadas de API que processam. Embora todas essas funções sejam importantes, elas não são suficientes para oferecer proteção eficaz à API. Até o momento, não há solução de gateway de API que inclua proteção de API com um mecanismo de modelo de segurança positivo, recursos de proteção de bots, análise comportamental e proteção DoS de aplicações.

Você sabia que todas as chamadas de API são centralizadas para passar por gateways de API? Isso vale apenas para APIs conhecidas e gerenciadas. Consequentemente, em muitas organizações existem muitas APIs não documentadas e não gerenciadas que não são abordadas – e é impossível proteger o que você não sabe que existe.

Além disso, a maioria dos gateways de API inclui ganchos para integração com soluções de proteção de API de terceiros. Essa é uma declaração clara dos fornecedores de API, entendendo a limitação de seus gateways de API na proteção das próprias APIs que eles gerenciam.

Suposição nº 3: Minhas APIs estão bem documentadas, permitindo proteção eficaz

De fato, para proteger com eficiência uma API, você precisa conhecer intimamente a estrutura dela, seus possíveis parâmetros, o tipo e o intervalo de valores e o conteúdo esperado do corpo da API. APIs bem documentadas, combinadas com uma boa solução de proteção de API, podem aumentar drasticamente a proteção.

No entanto, na maioria dos casos, nem todas as APIs usadas em uma organização são documentadas. E mesmo que sejam, as APIs mudam com mais frequência do que as aplicações. Dessa forma, sua documentação e a política de segurança precisam ser atualizadas regularmente; uma tarefa que não acontece com a regularidade que deveria. E se você perguntar aos arquitetos de segurança, a maioria dirá que não confia na documentação da API.

Qualquer solução eficaz de proteção de API deve incluir a detecção automática de APIs. Isso inclui descobrir não apenas sua existência, mas também sua estrutura (ou seja, esquema), seus parâmetros, tipos de parâmetros e seus intervalos de valores. Um bom mecanismo de descoberta também pode gerar e aplicar automaticamente uma política de segurança personalizada para corresponder às APIs detectadas para protegê-las com eficiência. Essa é a melhor maneira de proteger com eficiência uma API durante todo o seu ciclo de vida.

[Você também pode se interessar por: Como alcançar a proteção de aplicações por trás do AWS/Azure CDN]

Suposição nº 4: Tenho uma solução de proteção de API dedicada – estou protegido

Ter uma boa proteção de API que cubra as recomendações mencionadas neste blog é um ótimo começo. Mas é só isso – um começo – e não o suficiente para proteger totalmente sua aplicação. As APIs não existem por si só. Elas fazem parte de uma aplicação. A aplicação é implementada em uma infraestrutura. Os hackers que não conseguem encontrar o caminho pelas APIs procurarão uma forma de entrar por meio da vulnerabilidade de uma aplicação que não esteja relacionada à API. Eles podem lançar um ataque de bot ou simplesmente atacar a infraestrutura com um ataque DDoS.

A proteção de aplicações deve ser vista de maneira holística, o que significa que todas as bases devem ser cobertas. Sua proteção é tão forte quanto seu elo mais fraco.

A proteção de API é apenas um componente importante em sua arquitetura geral de proteção de aplicações, que também deve incluir um WAF forte, gerenciamento de bots, inteligência contra ameaças e proteção contra DDoS. Se você puder gerenciar essas soluções a partir de um único painel de controle e sincronizá-las, suas aplicações e APIs estarão protegidas com eficiência.

Quer saber mais? Participe do nosso webinar, onde daremos mais informações sobre as práticas recomendadas para lidar com as lacunas de proteção apresentadas neste blog.

Gostou desta publicação? Inscreva-se agora para receber o conteúdo mais recente da Radware na sua caixa de entrada toda semana, além de acesso exclusivo ao conteúdo premium da Radware.

LEAVE A REPLY

Please enter your comment!
Please enter your name here