Ignore a segurança da API por sua conta e risco

08/11/2021 mindsecblog Artigos, Notícias 1

Ignore a segurança da API por sua conta e risco. A segurança de APIs expõem dados privados privados e colocam empresas em risco.

As interfaces de programação de aplicativos (APIs) estão no centro de quase todas as experiências digitais – seja a entrega de aplicativos móveis que permitem aos consumidores monitorar e personalizar suas rotinas de exercícios usando um dispositivo conectado à IoT, ou tornando mais fácil para os proprietários de carros rastrear e compartilhar seus comportamentos de direção em veículos com uma seguradora ou habilitar serviços de monitoramento remoto que permitem que pacientes com condições crônicas registrem e relatem suas estatísticas diárias e recebam orientações importantes que os ajudem a gerenciar melhor sua saúde.

A segurança e o desempenho da API são essenciais para envolver os clientes e aumentar a receita, mas as notícias recentes sobre vulnerabilidades de segurança que expõem dados privados colocaram a questão do gerenciamento de API em foco. Em muitos casos, simples falhas em tratar a segurança da API com respeito resultaram em algumas violações de dados significativas que afetaram milhões de usuários.

O uso da API está crescendo, mas a segurança está atrasada

Na economia digital de hoje, as organizações estão se tornando cada vez mais dependentes de APIs para potencializar aplicativos móveis e da web que tornam mais fácil para os clientes consumir serviços por meio de dispositivos ou aplicativos conectados. Mas os ataques de API estão aumentando e o Gartner previu recentemente que as APIs se tornarão o principal vetor de ataque em 2022.

As vulnerabilidades da API permitem que os cibercriminosos acessem dados confidenciais do usuário, incluindo identidade e informações de faturamento. Com os consumidores cada vez mais dependentes de dispositivos conectados à IoT e serviços de subscrição de entretenimento e estilo de vida, os problemas de segurança da API abrem a porta para ataques de negação de serviço ou exposição em massa de informações pessoais dos usuários.

Vejamos alguns dos problemas subjacentes a uma grave vulnerabilidade recente da API que levou à exposição de dados privados de milhões de usuários globais.

O que causou o incidente

As APIs podem ser classificadas como privadas, parceiras ou públicas. No caso de coisas e aplicativos conectados voltados para o consumidor, as APIs são frequentemente classificadas como privadas e públicas, uma vez que usuários externos não as acessarão usando a intranet privada de uma organização.

Isso, no entanto, cria uma vulnerabilidade potencial se as empresas presumirem que uma API privada não precisa ser protegida. Limitar o acesso à API para usuários autenticados não é suficiente. Nesse caso, a empresa em questão confiou em seu aplicativo (em um dispositivo conectado à IoT ou no telefone de um usuário) para “ocultar” as informações de outras pessoas, o que ainda deixava a própria API exposta.

Isso significava que qualquer pessoa, em qualquer lugar, poderia se inscrever em uma nova conta e, em seguida, recuperar as informações de perfil de outros usuários – incluindo nome, sexo e localização – incluindo usuários que definiram suas contas como “privadas”, esperando que isso impedisse suas informações de ser visto por outros.

Para ocultar adequadamente as informações que não deveriam ter sido expostas por meio da API, como detalhes de contas privadas, o código do aplicativo que implementa a API em si deveria ter sido alterado em vez de simplesmente configurar a API para que certas condições tivessem que ser atendidas (como um “ token de usuário autenticado ”) antes de conceder acesso.

Nesse caso, além de realizar uma correção rápida e inadequada, o processo inadequado da empresa para relatar e resolver um problema de segurança conhecido significava que demorava mais de três meses para implementar uma correção final para resolver o problema.

Obter design, implementação e gerenciamento de API certos na primeira vez

Muitas organizações são rápidas em abraçar o potencial e as possibilidades de dispositivos e aplicativos conectados. No entanto, eles frequentemente se esquecem de implementar a tecnologia e os processos corretos necessários para tornar suas APIs seguras.

Compreender as APIs em termos de diferenças privadas / parceiros / públicas e entender que elas não são iguais a internas / externas é apenas o começo. As organizações devem ter uma estratégia de API e uma plataforma de gerenciamento de API bem gerenciada para que, antes que as equipes exponham APIs a qualquer pessoa, uma análise de segurança completa seja realizada antes de lançar certos designs de API.

Da mesma forma, qualquer problema identificado precisa ser tratado de uma forma altamente estruturada. Isso inclui a realização de uma avaliação completa do impacto e do escopo das vulnerabilidades relatadas e a implementação de processos para garantir que todos esses problemas sejam resolvidos em tempo hábil para evitar que problemas maiores surjam mais adiante.

Adotando uma abordagem proativa de gerenciamento de API

À medida que as organizações avançam com o uso de APIs para impulsionar a transformação digital e implantar uma nova geração de serviços baseados em aplicativos, o risco de acesso não autorizado e exposição de dados aumenta.

Para evitar futuros danos monetários e de marca, as organizações precisarão implementar uma estratégia de API corporativa sólida e começar a tratar as APIs como cidadãos de primeira classe do negócio. Isso significa ter estruturas estabelecidas para garantir que o design, a implementação e o gerenciamento da API sejam feitos de maneira adequada, juntamente com um programa de API interno apropriado para gerenciar quaisquer vulnerabilidades de API identificadas de maneira abrangente e rápida.

Prosperar e sobreviver na economia hiperconectada de hoje depende cada vez mais de ter maturidade de API suficiente para garantir que qualquer coisa conectada aos servidores de uma organização – dispositivos, aplicativos, clientes – seja gerenciada de forma adequada para manter APIs, dados de clientes e a reputação da empresa em segurança.