Segurança da API: Práticas recomendadas para aquisição de dados de atividades por API
A coleta de dados de API é a base para segurança de APIs. A coleta de dados tem dois objetivos principais: Descoberta de API e análise de tráfego de API.
Detecção de API É crucial para qualquer programa de segurança de API eficaz. Uma descoberta de API mais importante e contínua é necessária para encontrar APIs de invasores e zumbis.
Análise de tráfego de API para vulnerabilidades e ameaças, conforme mencionado no documento "As 10 principais ameaças de segurança da API OWASP", também é crucial. Assim como em qualquer empreendimento de segurança de rede, o produto de segurança precisa ver os dados certos para analisá-los quanto a ameaças.
4 recomendações para uma coleta eficaz de dados de API
Nossas quatro recomendações para a coleta de dados de API efetiva são:
Começar com o ponto privilegiado mais amplo possível
Adicionar profundidade à sua pilha de monitoramento de API primária
Limpar os dados de atividade da API
Dê o primeiro passo para uma melhor descoberta de API e detecção avançada de ameaças
Começar com o ponto privilegiado mais amplo possível
A abrangência da visibilidade é essencial ao projetar sua abordagem de segurança de API. Se geralmente você tiver um processo de implantação e gerenciamento de API padronizado, provavelmente focará a coleta de dados de API de acordo com esse processo padrão. Detectar o inesperado, no entanto, é provavelmente um elemento mais crítico da sua estratégia de segurança de API.
Afinal, as APIs não autorizadas implementadas fora de seu processo sancionado, e as APIs de sombra esquecidas criadas em pilhas de APIs herdadas, provavelmente representam riscos mais significativos do que as novas APIs em sua pilha principal. Certifique-se de que seus mecanismos de coleta de dados de API permitem que você encontre suas APIs com descoberta contínua.
Essa é uma área na qual o monitoramento de tráfego e a coleta de registros têm uma vantagem sobre os sensores baseados em host. Espelhar o tráfego de pontos-chave na rede e usar logs (por exemplo, de Gateways de API) fornece, por definição, uma ampla cobertura que provavelmente capturará atividades de API não sancionadas, desde que seu sistema de segurança de API seja arquitetado para detectá-las. Em contraste, a maioria dos tipos de sensores baseados em host, especialmente a instrumentação de código, só verá a atividade para os hosts API específicos equipados com sensores.
Mesmo aproveitando a visibilidade mais ampla proporcionada pelo monitoramento de registros e tráfego, ainda é importante procurar e eliminar os pontos cegos. Nuvem híbrida e multinuvem Os ambientes geralmente têm tráfego de API fluindo em muitos locais diferentes, cada um deles deve ser acessado separadamente. (Saiba como convencer a equipe de conformidade de que os dados confidenciais em registros detalhados estão protegidos na seção sobre sanitização de dados, mais adiante nesta publicação.)
Adicionar profundidade à sua pilha de monitoramento de API primária
Os dados de registro e tráfego podem vir de muitas fontes diferentes. É útil, do ponto de vista da cobertura, coletar esses dados de fontes de infraestrutura, como corretores de pacotes, plataformas de nuvem, gateways de API, ferramentas de organização de malha e contêiner, proxies, redes de entrega de conteúdo, web application firewalls, e plataformas de registro centralizado.
A cobertura que essas plataformas oferecem é excelente para a descoberta de API de linha de base. Mas também é importante considerar a profundidade e a fidelidade dos dados ao projetar sua abordagem de coleta de dados de API.
Por exemplo, imagine que você esteja coletando dados de atividade diretamente do seu gateway de API. Não é garantido que os registros de gateway de API incluirão detalhes suficientes para executar os tipos mais avançados de análise comportamental. Por exemplo, mesmo que toda a atividade HTTP apareça nos registros, os cabeçalhos de solicitação e resposta podem ter quantidades variáveis de detalhes. E dados úteis, como cargas úteis de mensagens, podem estar faltando por completo, dependendo do fornecedor.
Para plataformas como Akamai API Security que identificam entidades envolvidas na atividade de API, no contexto de negócios conjunto de peças e monitoram anomalias comportamentais, a fidelidade de dados adicional fornecida pelas tecnologias de espelhamento de tráfego de API pode ser inestimável.
Limpar os dados de atividade da API
A maior parte do que abordamos até agora está focada na coleta do conjunto mais amplo e profundo de dados de atividade de API possível. Isso garante que a descoberta de API e as análises de segurança sejam o mais abrangentes possível e que você tenha a base necessária para os tipos de análise comportamental necessários para ficar à frente das ameaças avançadas de API.
Portanto, antes de permitir que um fornecedor de segurança analise sua atividade de API, é importante desafiá-lo a demonstrar que ele pode limpar os dados antes de deixar seus ambientes de nuvem privada local ou virtual.
Adotar esse tipo de modelo de segurança na nuvem dará a você a confiança de permitir que os sensores de seu fornecedor enviem detalhes altamente granulares para a nuvem para análise enquanto protegem seus dados confidenciais de usuário e propriedade intelectual.
Dê o primeiro passo para uma melhor descoberta de API e detecção avançada de ameaças
Pode parecer assustador identificar as melhores técnicas de coleta de dados de APIs para sua organização, assim como decidir a melhor forma de comparar seus fatores. Mas não precisa ser assim.
Nossa equipe na Akamai irá guiá-lo nesta jornada e garantir que sua abordagem incorpore as melhores práticas mais recentes. Leia sobre como ajudamos outro cliente da Akamai nesta jornada.
