O que fazer e o que não fazer a respeito da segurança moderna de APIs
Muitos executivos de segurança enfrentam dificuldades quando se trata da segurança de APIs. Embora as APIs não sejam novidade, elas assumiram uma importância estratégica muito maior nos últimos anos devido aos seguintes fatores:
Os usuários interagem com os aplicativos por meio de um conjunto cada vez mais diversificado de interfaces e dispositivos, geralmente ativados por um conjunto compartilhado de APIs.
As práticas de DevOps e outros processos comerciais de rápida evolução dependem das APIs para impulsionar a automação.
As integrações de API entre parceiros de negócios são a única maneira de atender às expectativas dos clientes em relação a experiências online rápidas e eficientes.
Os desenvolvimentos do setor, como a Internet das Coisas (IoT), aumentam exponencialmente o número de dispositivos conectados que as empresas precisam gerenciar programaticamente por meio de APIs.
APIs: facilitadoras estratégicas e um ponto crucial para vulnerabilidades
Esses desenvolvimentos do setor ocorreram durante muitos anos em plena vista. No entanto, muitos líderes de segurança estão começando a perceber o fato de que as APIs são tanto facilitadoras estratégicas quanto um ponto crucial para vulnerabilidades em praticamente todas as suas funções essenciais de negócios.
Reconhecer a necessidade de uma abordagem estratégica para a segurança de APIs é uma etapa inicial importante, mas pode parecer uma jornada complexa. Por um lado, as APIs são um alvo móvel. Elas aparecem e desaparecem o tempo todo, e os processos de governança de APIs geralmente são inconsistentes, se é que existem.
Ameaças a APIs em comparação com ameaças tradicionais à segurança
As ameaças a APIs também são diferentes das ameaças tradicionais à segurança. Vulnerabilidades técnicas e configurações incorretas, como as descritas no OWASP API Security Top 10, têm alguma semelhança com os vetores de ataque que as equipes de segurança estão acostumadas a enfrentar. No entanto, as APIs também estão sujeitas a outros tipos de uso indevido e abuso de lógica comercial, como a captura agressiva de dados, que não se encaixam no molde de um ataque tradicional à segurança.
Embora uma abordagem estratégica da segurança de APIs não seja necessariamente fácil, ela é possível.
Criamos um guia rápido chamado Oito recomendações para segurança de APIs que resume alguns dos aprendizados e práticas recomendadas de nossas pesquisas e trocas com algumas das organizações orientadas por API mais sofisticadas do mundo. Ele inclui estratégias essenciais a serem implementadas — e armadilhas a serem evitadas — à medida que você desenvolve uma estratégia de segurança de APIs mais sofisticada para sua organização.
