API Security

A manutenção de um inventário abrangente e continuamente atualizado de todas as APIs de sua organização é crucial para uma estratégia eficaz de segurança de APIs. A descoberta diária ou sob demanda é insuficiente devido à gravidade dos riscos associados a ataques a APIs. Além disso, a visualização do comportamento real das APIs (chamadas de APIs) é necessária para permitir que os principais membros das equipes de segurança, desenvolvimento e operações entendam como elas estão sendo usadas. Isso facilita a comunicação e a investigação entre as equipes de sua organização. 

O API Security oferece detecção automatizada e contínua de APIs em várias tecnologias e infraestruturas. Ele também identifica APIs recém-implantadas e compara suas propriedades com a documentação existente. O API Security detecta APIs sombra frequentemente ignoradas e as vulnerabilidades conhecidas de APIs, como as descritas no OWASP API Security Top 10. 

A descoberta de APIs é um processo constante, e nosso monitoramento contínuo identifica novas APIs e alterações em APIs existentes 24 horas por dia. As equipes de segurança ganham visibilidade inigualável e são as primeiras a saber quando os desenvolvedores implantam uma nova API ou serviço.

As APIs são a base de todos os produtos e serviços digitais lançados por uma empresa. Por isso, não é surpresa que elas estejam crescendo em escopo e escala. Mas esse crescimento leva a uma proliferação de APIs que está remodelando sua superfície de ataque.

Os invasores modernos procuram vulnerabilidades de APIs, incluindo bugs de software ou erros de configuração, que possam explorar para:

• Obter acesso a aplicativos confidenciais
• Localizar, comprometer e/ou roubar dados confidenciais
• Usar a API de forma mal-intencionada 

O OWASP API Security Top 10 apresenta um resumo útil sobre algumas das vulnerabilidades e ameaças mais exploradas em APIs, as quais as organizações devem tentar identificar e solucionar.

Com o API Security, você pode impedir que APIs vulneráveis e configuradas incorretamente exponham sua empresa a ataques a APIs pela notificação imediata de equipes de segurança, desenvolvimento e APIs quanto a possíveis riscos, erros de configuração e vulnerabilidades. Você também pode determinar facilmente se um parceiro configurou sua API incorretamente ou se há vulnerabilidades no código. 

Os alertas contextuais e condicionais funcionam perfeitamente em seus fluxos de trabalho existentes, como pela criação automática de um tíquete do Jira, por exemplo, permitindo que você resolva quaisquer problemas rapidamente.

As APIs são projetadas para serem usadas de forma programática, o que torna extremamente desafiador diferenciar o uso legítimo de ataques e violações.

Embora os ataques a APIs variem de abordagem, algumas das maneiras mais comuns incluem:

• Violação de lógica de negócios. A violação de lógica de negócios é quando um agente malicioso explora falhas de design ou de implementação de aplicativos para incitar comportamentos inesperados e não autorizados, beneficiando os invasores. Os controles de segurança legados não podem impedir esse tipo de violação, causando enorme estresse e pressão aos CISOs e suas equipes.
• Acesso não autorizado a dados. Outra forma comum de abuso de API é explorar mecanismos de autorização quebrados para acessar dados que os invasores não devem ter permissão para acessar. Essas vulnerabilidades têm muitos nomes, como BOLA (Broken Object Level Authorization, autorização interrompida em nível de objeto) e IDOR (Insecure Direct Object Access, acesso direto a objeto inseguro), bem como BFLA (Broken Function Level Authorization, autorização interrompida em nível de função).
• Aquisição de contas. Depois de um roubo de credenciais ou até mesmo de um ataque de script entre sites, uma conta pode ser assumida. Quando isso acontece, é possível que até mesmo a API mais bem escrita e protegida seja violada. Afinal, se você não estiver realizando uma análise de comportamento, qualquer atividade autenticada será considerada legítima.
• Captura de dados. Conforme as organizações disponibilizam conjuntos de dados por meio de APIs públicas, os agentes maliciosos podem consultar esses recursos de forma agressiva para fazer a captura indiscriminada de grandes conjuntos de dados valiosos.
• Negação de serviço (DoS) comercial. Ao solicitar que o back-end execute tarefas pesadas, os invasores ou usuários de API podem causar "erosão do serviço" ou uma negação completa de serviço na camada de aplicação (uma vulnerabilidade muito comum em GraphQL, mas algo que pode acontecer com qualquer implementação de endpoint de API com uso intenso de recursos). Isso pode acontecer por meio de um ataque intencional ou por uso excessivo de um parceiro que faz com que a API seja desativada para outros parceiros. 
• Exploração de vulnerabilidade. Vulnerabilidades técnicas na infraestrutura subjacente podem levar a comprometimento do servidor. Exemplos desses tipos de vulnerabilidades vão desde as vulnerabilidades do Apache Struts (CVE-2017-9791, CVE-2018-11776 e outras) até as vulnerabilidades do Log4j (CVE-2021-44228 e outras).

A identificação e a mitigação desses e de outros riscos de segurança de API exigem controles de segurança sofisticados o suficiente para lidar com esse cenário complexo e em rápida evolução de ameaças. 

A solução do API Security fornece um contexto de negócios que não pode ser obtido analisando elementos técnicos, como endereços IP e tokens de API. Usando a análise de tráfego em tempo real com base em IA/ML, o API Security gera o contexto de negócios que permite uma análise completa do que aconteceu antes e depois de um alerta, permitindo a identificação de uma causa raiz. O API Security também permite pesquisar APIs por entidades específicas, como usuários ou parceiros, ou até mesmo entidades de processos de negócios (por exemplo, fatura, pagamento, pedido etc.), para possibilitar a localização de anomalias que, de outra forma, não seriam detectadas.