Além das vulnerabilidades: Por que o abuso de APIs é um desafio crítico
À medida que as interfaces de programação de aplicações (APIs) ganham mais importância estratégica, muitas organizações estão iniciando um aumento gradual na maturidade e na sofisticação de sua postura de segurança de API. Essas iniciativas geralmente começam com três atividades principais:
- Implementação Detecção de APIs Criar um inventário completo e preciso de todas as APIs sancionadas e não sancionadas
- Eliminação de APIs não sancionadas
- Identificação e correção de vulnerabilidades de software e implementação que deixam APIs sancionadas expostas a ataques
Essas são práticas essenciais, e há alguns recursos excelentes, como o OWASP API Security Top 10 , que fornecem um roteiro de alto nível para encontrar e eliminar vulnerabilidades de API. Mas descobrir APIs e lidar com as vulnerabilidades delas é apenas o começo de uma estratégia robusta de segurança de API.
Mesmo que você faça um trabalho perfeito na catalogação de suas APIs e na eliminação de vulnerabilidades, elas ainda podem ser altamente suscetíveis a abusos. E os impactos comerciais dos abusos de API podem ser tão devastadores quanto a exploração de vulnerabilidades.
O abuso de APIs é tipo diferente de problema
Os primeiros esforços na segurança formal da API estavam preocupados com a proteção contra ataques que exploram quaisquer vulnerabilidades na forma como as APIs são codificadas ou configuradas.
O abuso de APIs,no entanto, é um tipo diferente de problema. Os invasores não estão explorando nenhum tipo de vulnerabilidade técnica. Em vez disso, eles estão usando APIs de maneiras não pretendidas pela organização que as criou.
Devastadores e de difícil detecção
Os efeitos do abuso de API podem ser devastadores. Afinal, muitas organizações expõem sua lógica de negócios principal e seus dados por meio de APIs. A única coisa que um agente de ameaça precisa para roubar essa propriedade intelectual é a API certa com as credenciais certas.
Outra questão complexa é o fato de que o abuso de API é muito difícil de detectar. Como os agentes de ameaça estão usando credenciais válidas e interagindo com APIs de maneiras semelhantes ao uso legítimo, muitos produtos de segurança de API de primeira geração não são capazes de detectá-los.
Toda API é suscetível a algum tipo de abuso
Todas as organizações que expõem APIs devem assumir que toda API é suscetível a algum tipo de abuso. Por exemplo, considere as aplicações e serviços de banco online, orçamento e planejamento financeiro que muitos de nós agora usam todos os dias. APIs são a essenciais para fazer esses tipos de conveniências funcionarem.
Um agente de ameaça com credenciais em mãos poderia facilmente aproveitar a lógica de negócios inerente e os dados acessíveis por meio dessas APIs para usar essa propriedade intelectual contra os interesses comerciais da instituição financeira e os interesses pessoais do titular da conta.
Como se defender contra a crescente ameaça de abuso de API
Não feche os olhos para as vulnerabilidades de API. É mais importante que nunca criar uma base de segurança de API que inclua detecção, avaliação de vulnerabilidade e correção.
Mas estender sua postura de segurança de API por toda a gama de ameaças, incluindo abuso de API, exigirá três estratégias importantes adicionais:
- Expandir o conhecimento sobre ataques de API
- Analisar significativamente mais dados sobre APIs
- Aproveitar as APIs para identificar abusos
Expandir seu conhecimento sobre o que constitui um ataque de API
O OWASP API Security Top 10 é um bom lugar para começar a encontrar e eliminar vulnerabilidades de API. Mas apenas saber sobre o assunto não é o suficiente. Até que surjam estruturas do setor para abuso de API, é importante que sua equipe pense de forma mais ampla sobre a natureza dos ataques de API.
Analise significativamente mais dados sobre APIs e atividades
Outras soluções de segurança de API monitoram chamadas de API individuais ou, na melhor das hipóteses, sessões de curto prazo. O problema é que, além de parecer uma atividade legítima, o abuso de API pode se desdobrar em minutos, horas ou dias. Adotar uma abordagem baseada em software como serviço (SaaS) é a única maneira de capturar e analisar conjuntos de dados que são grandes o suficiente para realmente entender o uso da API no contexto e identificar abusos e anomalias de API baixos e lentos em relação ao comportamento da linha de base.
Usar a API para identificar casos de abuso
A velocidade e o volume da atividade da API são muito grandes para os humanos monitorarem e compreenderem ativamente. Ao mesmo tempo, muitas técnicas tradicionais de segurança de API não conseguem entender o impacto nos negócios daquilo que estão observando.
Esta é uma excelente aplicação para técnicas de machine learning e de aprendizado artificial (AI, na sigla em inglês). Supondo que você siga o conselho nesta publicação do blog e mude para SaaS: Além de ter mais dados para analisar, você terá acesso ao poder de computação necessário para executar a análise de big data.
Nunca seremos capazes de prever o futuro e antecipar completamente a próxima nova maneira de os agentes de ameaça abusares de uma API. No entanto, podemos usar a IA para determinar uma linha de base de comportamento, entender as entidades de negócios envolvidas e identificar anomalias que indicam possível abuso.
Controles sofisticados para os riscos atuais
Até mesmo as APIs perfeitas podem ser abusadas. A identificação e a mitigação de riscos de segurança de API exigem controles de segurança sofisticados o suficiente para lidar com esse cenário complexo e em rápida evolução de ameaças. Confira a solução Akamai API Security para aumentar a segurança das suas APIs.
