APIs sob ataque: estratégias de segurança essenciais para enfrentar esse desafio

APIs sob ataque: estratégias de segurança essenciais para enfrentar esse desafio. O uso cada vez mais acelerado traz desafios ainda maiores.

O emprego cada vez mais acelerado das APIs na irreversível jornada de digitalização das empresas dos mais diversos portes e segmentos de atuação tem como contrapartida o aumento igualmente exponencial nos ataques. No início do ano passado, a quinta edição do  Relatório sobre o Estado da Segurança de API do Salt Labs.

A Salt Labs identificou um aumento significativo no número de invasores direcionados à nossa base de clientes. O final do ano passado registou um grande aumento, com 4.845 atacantes a operar apenas em dezembro – um aumento de 400% em relação a apenas alguns meses anteriores.

Os maus atores são tenazes e continuam a encontrar formas novas e inesperadas de atacar. No passado, as organizações acreditavam que a autenticação adequada para interagir com uma API era um impedimento suficiente para enviar invasores para outro lugar. Os dados do Salt Labs mostram que 78% dos ataques vêm de usuários aparentemente legítimos que obtiveram a autenticação adequada de forma maliciosa.

Estes números são por si só um alerta sobre a necessidade de as empresas adotarem uma estratégia robusta de segurança para proteger suas APIs e os dados sensíveis que trafegam por elas”, comenta Daniela Costa, diretora para a América Latina da Salt Security, acrescentando que não se deve esperar que os cibercriminosos reduzam o ritmo dos seus ataques ou renunciem à criatividade e à sofisticação em suas ações.

O crescimento expressivo do emprego de APIs precisa ser acompanhado pela construção de uma sólida estratégia de segurança, que efetivamente minimize os riscos. “Identificar as APIs em uso e suas vulnerabilidades é um primeiro passo para a criação de uma cultura de segurança corporativa  capaz de avaliar continuamente se as APIs em uso estão em conformidade com os padrões da empresa, com as práticas recomendadas e com os requisitos normativos”, pondera a executiva.

A proteção contra ameaças comportamentais das APIs passa pela capacidade de analisar ao longo do tempo trilhões de chamadas, o que requer ferramental de última geração para a captação e tratamento deste imenso universo de dados. “A crescente sofisticação presente nos ciberataques exige medidas de proteção igualmente avançadas, que permitam a extração de uma inteligência mais rica do uso das APIs e dos riscos associados, ofereçam recursos aprimorados de respostas a ameaças comportamentais, viabilizem uma abordagem holística através do gerenciamento de ativos internos integrado ao ecossistema externo e execute todo este processo de forma aderente às práticas recomendadas de cada setor e seus requisitos legais”.

Principais highlights da pesquisa.

A segurança da API surgiu como um problema comercial significativo

Os entrevistados nos disseram que as preocupações com a segurança da API levaram a esse resultado com muita frequência. Infelizmente, 59% sofreram atrasos na implementação de aplicativos resultantes de problemas de segurança identificados nas APIs. Com esses atrasos nos negócios e tantas violações notáveis ​​de segurança de APIs chegando às manchetes, não é surpresa que 48% dos entrevistados afirmem que a segurança de APIs se tornou uma discussão de nível C no ano passado.

A indústria está enfrentando desafios significativos de segurança de API

Os problemas de segurança da API são uma preocupação real para os entrevistados. 94% tiveram algum problema de segurança com suas APIs de produção no ano passado, com vulnerabilidades no topo da lista com 41%, seguidas de perto por problemas de autenticação com 40%. O que é mais preocupante é que 31% sofreram uma exposição de dados confidenciais ou um incidente de privacidade e 17% sofreram uma violação de segurança; tais eventos têm custos significativos e danos à reputação associados a eles.

O OWASP API Security Top 10 é um ponto de partida crítico

A lista OWASP API Security Top 10 é um padrão do setor no espaço de API, mas é uma área de foco para programas de segurança em apenas 54% das organizações entrevistadas. Esta baixa percentagem é desanimadora, uma vez que os dados dos clientes Salt mostram que 66% de todas as tentativas de ataque aproveitam pelo menos uma destas 10 vulnerabilidades de segurança. Normalmente, os malfeitores usam combinações desses 10 ataques para propagar ataques mais sofisticados.

APIs “zumbis” estão no topo da lista de preocupações de segurança de APIs

Com problemas significativos de segurança de API acontecendo com tanta frequência, é lógico que os entrevistados tenham preocupações reais sobre seus programas de segurança de API. APIs desatualizadas/zumbis estão no topo de suas preocupações, com 54% indicando que são altamente preocupantes. Dado que os entrevistados também identificaram desafios significativos de documentação em suas organizações, é altamente provável que a maioria dos ambientes execute APIs que não estão documentadas. Assim, embora a percentagem mais baixa (20%) tenha citado as APIs sombra como uma das principais preocupações, o risco nesta área é provavelmente maior do que muitos entrevistados imaginam.

A maioria das estratégias de segurança de API permanece imatura

Com a dependência de APIs em alta e com resultados de negócios críticos dependendo delas, é ainda mais imperativo que as organizações construam e implementem uma forte estratégia de segurança de API. Infelizmente, apenas 12% das organizações entrevistadas têm o que consideram estratégias avançadas de segurança de API que incluem testes de API dedicados e proteção de tempo de execução. No lado oposto do espectro, 30% dos entrevistados — todos com APIs em execução em produção — admitem que não possuem nenhuma estratégia de API atual.

As abordagens tradicionais para segurança de API estão aquém

Os entrevistados indicaram que utilizam principalmente ferramentas e processos tradicionais para proteger suas APIs. Eles dependem principalmente de gateways de API (52%), análise de arquivos de log (51%) e alertas WAF (44%). No entanto, eles não acreditam que esses métodos sejam particularmente eficazes, com 77% dos entrevistados afirmando que as ferramentas existentes não são muito eficazes na prevenção de ataques à API.

Interromper ataques é o atributo de segurança de API mais valorizado; deslocamento para a esquerda é o mais baixo

A segurança da API está no centro das atenções para muitas organizações, mas o que exatamente elas procuram? Os recursos que os entrevistados identificaram como mais valiosos foram a capacidade de identificar quais APIs expõem PII ou dados confidenciais (44%), impedir ataques (44%) e atender a requisitos regulatórios ou de conformidade (38%). Os entrevistados consideraram a capacidade de implementar práticas de segurança de API shift left como o atributo de menor valor, com apenas 22% citando-o como altamente importante.

As APIs estão mudando constantemente e a documentação não consegue acompanhar

Ter uma visão abrangente da superfície de ataque de sua API é amplamente aceito como o primeiro passo para proteger APIs. Infelizmente, os entrevistados nos disseram que sua confiança em um inventário de API completo e preciso é baixa, com apenas 19% afirmando que se sentem muito confiantes. Por que? As APIs estão em constante mudança, tornando quase impossível documentá-las bem. Na verdade, 37% das organizações atualizam suas APIs pelo menos uma vez por semana.

As equipes de segurança têm dificuldade em entender quais APIs expõem PII

Os entrevistados não estão muito confiantes em sua capacidade de reconhecer quais informações confidenciais ou de identificação pessoal (PII) são expostas em suas APIs. Apenas 18% dizem estar muito confiantes de que seus inventários de API fornecem detalhes suficientes sobre suas APIs e os dados confidenciais contidos nelas. Por outro lado, 30% admitem ter falta de confiança nesta área.

Click e baixe o relatório completo

Fonte: Salt Security

Veja também:

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!