As mudanças nas APIs nos últimos anos tiveram um impacto significativo na segurança. Estão sendo usadas mais do que nunca por empresas de todos os tamanhos, em todos os setores e em todo o mundo. No entanto, estão cada vez mais expondo dados confidenciais para potencializar novos casos de uso e estão mudando constantemente para alimentar a necessidade de inovação rápida. Essas mudanças criam novos desafios para as equipes de segurança que precisam repensar as estratégias e ferramentas que usam para proteger serviços e dados críticos.
Há três grandes desafios para os profissionais da área de segurança de APIs.
Visibilidade de API
O primeiro desafio para qualquer coisa em segurança é entender o que você precisa proteger. Dois aspectos tornam a visibilidade mais desafiadora: o número crescente de interfaces em um ambiente e sua taxa de mudança. A maioria das organizações tem centenas, senão milhares de APIs, e elas estão mudando com frequência, dando origem a uma superfície de ataque extremamente grande e em constante mudança.
Não é suficiente saber que você tem uma interface. Você também precisa saber os detalhes dessa API e os dados que ela expõe. Os detalhes incluem conhecer os terminais que fazem parte dela, o que eles devem e não devem fazer, quem ou o que deve ter acesso à API e quais dados confidenciais cada uma expõe. Para aumentar a complexidade, os aplicativos geralmente incluem várias APIs, cada uma com sua própria lógica. Adicione a esses fatores as atualizações frequentes e é fácil entender o desafio de alcançar e manter uma visibilidade abrangente da superfície de ataque.
A maioria das organizações não tem um bom controle sobre sua superfície de ataque, com muitas APIs desconhecidas (também conhecidas como APIs de sombra) e exposição desconhecida de dados confidenciais e informações de identificação pessoal (PII). Muitas empresas tentam fazer com que os desenvolvedores criem manualmente um catálogo de todas as interfaces, mas como estão em constante mudança, esses catálogos manuais rapidamente ficam fora de sincronia. A automação é a única maneira real de abordar a escala, a taxa de alteração e os detalhes granulares necessários para proteger as APIs.
Interrompendo ataques de API
As APIs de hoje expõem dados mais confidenciais do que nunca, e os invasores estão cada vez mais atacando, procurando vulnerabilidades e caminhos para esses dados. As equipes de segurança precisam encontrar uma maneira de detectá-los com antecedência e impedi-los antes que tenham sucesso. Um grande desafio com as APIs é que elas são exclusivas em cada organização e, portanto, têm vulnerabilidades exclusivas. Ferramentas tradicionais, como WAFs e gateways de API, simplesmente não fornecem o nível certo de proteção. Essas ferramentas tradicionais são baseadas em arquiteturas de proxy e são limitadas a analisar o tráfego no nível de transação e não têm o contexto necessário para identificar ataques de API sofisticados.
Os ataques são baixos e lentos, pois os invasores gastam tempo para mapear a estrutura, entender a lógica e procurar vulnerabilidades a serem exploradas. As ferramentas tradicionais perdem esse tipo de atividade sutil do invasor, que requer a análise de grandes quantidades de dados para detectar malfeitores no início de seus esforços.
Outro golpe contra as ferramentas baseadas em proxy é que elas dependem de assinaturas e podem impedir apenas ataques conhecidos. Mas você não pode criar uma assinatura para uma vulnerabilidade desconhecida. Até mesmo configurar uma ferramenta de segurança para personalizá-la para o ambiente não é suficiente. A maioria das organizações, independentemente do tamanho, tem ambientes de API complexos, portanto, criar políticas manualmente não é prático. A natureza de rápida mudança das APIs requer a manutenção contínua das políticas de segurança, um processo que corre o risco de ficar para trás nas atualizações da API e deixar lacunas que os invasores podem explorar.
Muitas ferramentas tradicionais também são conhecidas por falsos positivos, pois analisam a atividade isoladamente no nível da transação e alertam sobre qualquer atividade anômala. Sem contexto, essas ferramentas não podem distinguir entre uma anomalia benigna e uma chamada de API verdadeiramente maliciosa que faz parte de um esforço de reconhecimento maior de um invasor.
As organizações devem mudar de ferramentas baseadas em proxy que dependem de assinaturas e requerem manutenção de configuração para soluções que continuamente reúnem e analisam atividades de API. Ao capturar e compreender grandes quantidades de dados, essas soluções obtêm o contexto necessário para conectar os pontos em várias atividades sutis de um invasor. O foco deve passar das transações para os invasores – essa abordagem permite a detecção antecipada de ataques e reduz o número de falsos positivos, porque os alertas e os gatilhos estão vinculados a um usuário, não a uma transação individual.
Melhorando a postura de segurança da API
A segurança não é um exercício de “configurar e esquecer”, especialmente quando se trata de aplicativos baseados em API. Esses ambientes estão em constante mudança e evolução com novos aplicativos e novos recursos. Conforme o ambiente muda, também muda a superfície de ataque. Essas mudanças criam desafios para que as organizações garantam que suas ferramentas e estratégias de segurança continuem a evoluir para fornecer proteção atualizada. Equipes de segurança e desenvolvedores precisam trabalhar e aprender continuamente para acompanhar as ameaças mais recentes e implementar as melhores práticas de segurança.
As organizações devem trabalhar para identificar vulnerabilidades no início do ciclo de desenvolvimento, mas, inevitavelmente, algumas vulnerabilidades chegarão à produção. Proteger APIs em tempo de execução e interromper ataques é crucial. A melhor maneira de melhorar a postura de segurança da API é aprender com os ataques detectados e interrompidos no tempo de execução e usá-los para eliminar vulnerabilidades – tal esforço requer que as equipes de segurança e desenvolvimento trabalhem juntas.
As equipes de segurança podem fornecer aos desenvolvedores percepções valiosas sobre as vulnerabilidades encontradas nas APIs de produção. Soluções que capturam e analisam todas as atividades de API de produção podem fornecer esse insight com um contexto valioso. Os insights incluem detalhes sobre a vulnerabilidade encontrada, como o invasor tentou manipulá-la, como o aplicativo respondeu e o contexto de como é a atividade normal da API alvo. Os insights também podem incluir recomendações sobre a melhor forma de remediar a vulnerabilidade. Com esse detalhe, as equipes de segurança e desenvolvimento entendem melhor a vulnerabilidade e podem trabalhar juntas para priorizar adequadamente os esforços de correção.
Conclusão
A Salt Security foi pioneira em uma arquitetura de segurança de API construída em big data e inteligência artificial (IA). A solução patenteada captura e analisa todas as atividades da API para fornecer descoberta automatizada e garantir um catálogo atualizado e visualização da superfície de ataque. Ao analisar o tráfego da API, a plataforma Salt pode identificar a atividade sutil dos invasores durante o reconhecimento e conectar os pontos de sua atividade para localizá-los e bloqueá-los antes que os ataques tenham sucesso. A plataforma também transforma os esforços do invasor em percepções de remediação, ajudando as equipes de segurança e desenvolvimento a trabalharem juntas para eliminar vulnerabilidades. Fale com nosso time e saiba mais sobre como Salt pode ajudá-lo a superar os desafios de proteger suas APIs. Conheça mais: https://www.m3corp.com.br/solucoes/salt/
Posts recentes