API Security

A manutenção de um inventário abrangente e continuamente atualizado de todas as APIs de sua organização é crucial para uma estratégia eficaz de segurança de APIs. A descoberta diária ou sob demanda é insuficiente devido à gravidade dos riscos associados a ataques a APIs. Além disso, a visualização do comportamento real das APIs (chamadas de APIs) é necessária para permitir que os principais membros das equipes de segurança, desenvolvimento e operações entendam como elas estão sendo usadas. Isso facilita a comunicação e a investigação entre as equipes de sua organização. 

O API Security oferece detecção automatizada e contínua de APIs em várias tecnologias e infraestruturas. Ele também identifica APIs recém-implantadas e compara suas propriedades com a documentação existente. O API Security detecta APIs sombra frequentemente ignoradas e as vulnerabilidades conhecidas de APIs, como as descritas no OWASP Top 10 API Security Risks. 

A descoberta de APIs é um processo constante, e nosso monitoramento contínuo identifica novas APIs e alterações em APIs existentes 24 horas por dia. As equipes de segurança ganham visibilidade inigualável e são as primeiras a saber quando os desenvolvedores implantam uma nova API ou serviço.

As APIs são a base de todos os produtos e serviços digitais lançados por uma empresa. Por isso, não é surpresa que elas estejam crescendo em escopo e escala. Mas esse crescimento leva a uma proliferação de APIs que está remodelando sua superfície de ataque.

Os invasores modernos procuram vulnerabilidades de APIs, incluindo bugs de software ou erros de configuração, que possam explorar para:

• Obter acesso a aplicativos confidenciais
• Localizar, comprometer e/ou roubar dados confidenciais
• Usar a API de forma mal-intencionada 

A lista OWASP Top 10 API Security Risks apresenta um resumo útil sobre algumas das vulnerabilidades e ameaças mais exploradas em APIs, as quais as organizações devem tentar identificar e solucionar.

Com o API Security, você pode impedir que APIs vulneráveis e configuradas incorretamente exponham sua empresa a ataques a APIs pela notificação imediata de equipes de segurança, desenvolvimento e APIs quanto a possíveis riscos, erros de configuração e vulnerabilidades. Você também pode determinar facilmente se um parceiro configurou sua API incorretamente ou se há vulnerabilidades no código. 

Os alertas contextuais e condicionais funcionam perfeitamente em seus fluxos de trabalho existentes, como pela criação automática de um tíquete do Jira, por exemplo, permitindo que você resolva quaisquer problemas rapidamente.

As APIs são projetadas para serem usadas de forma programática, o que torna extremamente desafiador diferenciar o uso legítimo de ataques e violações.

Embora os métodos de ataque a APIs variem, algumas das abordagens mais comuns incluem:

• Violação de lógica de negócios. Os ataques à lógica de negócios exploram falhas de design ou implementação de aplicações para gerar um comportamento inesperado e não aprovado que beneficie os invasores.
• Acesso não autorizado a dados. Esse método de ataque comum explora mecanismos de autenticação e autorização corrompidos para acessar dados restritos.
• Apropriação indevida de contas. A apropriação indevida de contas depende do roubo de credenciais ou ataques do tipo cross-site scripting para explorar APIs. Nela, os invasores se passam por usuários legítimos.
• Captura de dados. Os agentes mal-intencionados podem consultar agressivamente os recursos disponíveis publicamente para realizar a captura generalizada de grandes e valiosos conjuntos de dados.
• Negação de serviço (DoS) comercial. Chamadas de API irrestritas podem causar a "erosão do serviço" ou uma negação de serviço completa na camada de aplicativo.

Detectar e prevenir esses e outros riscos potenciais à segurança de APIs requer o uso de controles avançados, disponíveis em soluções dedicadas de segurança de APIs como parte de sua estratégia mais ampla de segurança de aplicativos.