Soluções de segurança de APIs

As APIs são únicas devido a muitas características. Por exemplo, as APIs trocam dados entre sistemas, enquanto os aplicativos web são acessados pelos usuários finais através de um navegador web. As APIs também usam um formato diferente para transportar dados e acessar diretamente os sistemas de back-end, muitas vezes servindo como intermediárias entre aplicativos web modernos e seus bancos de dados e servidores de back-end. Devido a essas e outras diferenças, a metodologia de detecção para segurança de APIs difere da segurança de aplicativos web, mesmo em categorias de vulnerabilidade sobrepostas, como ataques de injeção e riscos de acesso.

Existem algumas abordagens diferentes para as organizações gerenciarem todo o crescimento de suas APIs: gerenciamento de ciclo de vida completo de APIs, observabilidade de APIs e, de forma mais holística, proteção de aplicativos web e APIs (WAAP). As ferramentas de observabilidade de APIs fornecem observações e insights (em vez de segurança) sobre o desempenho de uma API. O gerenciamento completo do ciclo de vida de APIs geralmente se concentra no gerenciamento de APIs, mas carece de sofisticação de segurança. O WAAP, ou proteção de aplicativos web e APIs, é definido pelo Gartner como uma categoria de soluções de segurança projetadas para proteger aplicativos web, independentemente de seus locais de hospedagem. O WAAP é mais apropriado para APIs em produção, monitoramento em tempo real e proteção contra abusos, ameaças zero-day e invasores.

As APIs REST permitem que um cliente solicite recursos de um servidor, que retorna as informações ao cliente em seu estado atual. Os invasores podem atingir a API a qualquer momento durante a “chamada e resposta” da API REST. Portanto, prevenir o abuso da API REST requer apenas a autorização de tráfego de API “bom” autenticado, para bloquear solicitações de clientes ilegítimos. Os métodos de autenticação e autorização de APIs incluem certificados mTLS, tokens web JSON, chaves de API válidas, tokens OAuth 2.0 e outros.

As chaves de acesso a APIs, que separam a autenticação das credenciais do usuário e, em vez disso, enviam sequências de texto secretas junto com as chamadas de API, permitem um acesso mais seguro às APIs. No entanto, as chaves de API ainda podem enfrentar riscos de ataques man-in-the-middle, uso indevido pelo desenvolvedor e armazenamento problemático de segredos no código-fonte. Os tokens web JSON (JWTs) oferecem uma alternativa mais segura e flexível às chaves de API estáticas, desde que os JWTs sejam assinados usando algoritmos criptográficos seguros, evitem dados confidenciais na carga e imponham a expiração do token.

Diferentes métricas podem ajudar as partes interessadas de TI, segurança e desenvolvimento de aplicativos a avaliar seus níveis de segurança de API. Por exemplo, uma organização com um modelo robusto de segurança de APIs deve ter um inventário atual de ativos de API que mostre que todas as APIs são compatíveis com os dados e usam métodos fortes de autenticação ou autorização. Auditorias também devem ser feitas para identificar credenciais expostas/vazadas usadas em chamadas de API e para verificar informações identificáveis (informações de identificação pessoal), dados de cartão de crédito ou informações pessoais de saúde em chamadas/respostas de APIs. A capacidade de definir limites de taxa adaptáveis e inteligentes em APIs, conforme determinado por padrões de tráfego observáveis para cada endpoint, também sinaliza uma segurança de APIs mais avançada.

O abuso de APIs refere-se à exploração maliciosa de APIs, explorando falhas de lógica de negócios e vulnerabilidades de aplicativos que obstruem ou pioram a experiência do usuário para um usuário real. Na maioria das vezes, nas APIs atuais, a exposição de dados, ações não autorizadas, desvio de controles de segurança, interrupção de serviço e privilégios de elevação ocorrem devido à falta de controles de autenticação e autorização, conhecidos como falha de autorização no nível do objeto (BOLA) e falha de autorização no nível da função (BFLA).