Este artigo é baseado em uma palestra que dei na Black Hat MEA em novembro de 2023. Ele examina a situação da segurança de APIs no final do ano. Isso se deve principalmente a dois motivos. O primeiro é o mesmo dos últimos anos: o uso de APIs aumentou. Elas dominam a maior parte do tráfego HTTP. Em segundo lugar, e talvez mais importante, esse crescimento também é paralelo ao crescimento dos ataques às APIs. Apesar do lançamento de uma lista atualizada top 10 do OWASP para APIs, o aumento persistente de ataques a APIs talvez deva ser um motivo maior de preocupação. Vamos examinar o assunto, as causas raízes e considerar as soluções essenciais para fortalecer os ecossistemas de APIs.
Nos últimos anos, as APIs se tornaram ferramentas cada vez mais poderosas para a criação de aplicativos mais integrados e dinâmicos com base na tecnologia existente. Elas se tornaram facilitadores de aplicativos de software dinâmicos e de negócios. Elas também podem ser usadas de maneiras que melhoram vidas. Por exemplo, um conselho local no Reino Unido pode querer usar os dados fornecidos pela Environment Agency Rainfall API para ver as tendências em sua área e se preparar adequadamente. Um grupo de engajamento cívico pode querer criar um aplicativo que possa ser integrado a APIs cívicas para fornecer aos residentes informações sobre as próximas eleições, locais de votação e candidatos. Há também razões regulatórias, como o open banking, em que, em um número crescente de países, os bancos devem permitir que outros bancos e provedores terceirizados acessem os dados financeiros de seus clientes pela API. Isso melhora a concorrência, o que, em última análise, é bom para o consumidor.
Como o número de APIs cresceu, os ataques a elas também aumentaram. Em 2021, a Gartner previu que, até 2022, o abuso de APIs passaria de infrequente para o vetor de ataque mais frequente, resultando em violação de dados para aplicativos web corporativos. Apesar dos inúmeros avisos, os ataques a APIs ainda são muito bem-sucedidos. Nos anos anteriores, várias organizações bem conhecidas foram vítimas. O OWASP, uma organização focada em aprimorar a segurança de aplicativos web, lançou inicialmente uma versão específica para APIs de seus top 10 riscos em 2019. A lista foi atualizada este ano. Infelizmente, as listas de grandes empresas que estão sendo exploradas também foram atualizadas. Algumas delas duas vezes este ano. Se as grandes organizações estão sendo vítimas, imagine o que está acontecendo com as empresas que não aparecem nas notícias. É bem possível que este ano acabe se tornando um ano recorde para violações de APIs. (Evitei citar organizações específicas, pois este não é um exercício de apontar culpados).
De fato, isso afeta a todos nós. Ignorando o fato de que US$ 4,45 milhões é o custo médio global de uma violação de dados, cada vez mais nossos dados pessoais estão nas mãos de entidades que podem não ter salvaguardas suficientes, mesmo que pensem que têm. A exposição de dados ou o controle de conta que leva ao roubo de identidade são problemas pelos quais as pessoas passam com mais frequência do que deveriam. O aumento dos ataques a APIs ressalta a necessidade de um entendimento mais profundo e de uma postura de defesa mais sofisticada.
Durante o ano passado, os principais desafios enfrentados pela segurança se enquadram nestas cinco áreas:
Enigma da autenticação/autorização: o cenário de violações geralmente está relacionado a pontos fracos nos mecanismos de autenticação/autorização. Seja por causa de credenciais comprometidas, métodos de autenticação fracos ou processos/protocolos insuficientes em torno disso, a centralidade da identidade é um ponto que não está evoluindo com o cenário de ameaças. A BOLA (Broken Object Level Authorisation) é o risco de segurança de API número um em ambas as listas do OWASP, com anos de diferença.
Proliferação de APIs: tanto interno quanto voltado para o público, o crescimento de APIs tem sido impressionante. A diversidade de APIs, bem como o contexto em que estão sendo usadas, torna isso um desafio cada vez maior.
Seu WAF: normalmente não significa nada para o tráfego específico de APIs e não pode resolver o ponto 1 acima. A maioria dos ataques aparece como tráfego legítimo e muitos WAFs (inclusive aqueles com elementos de aprendizado de máquina) os deixarão passar. Não acreditar em seu WAF é uma etapa inicial que está faltando. Um slide pertinente de minha palestra:
Preso no meio: a incapacidade de mudar para a esquerda, apesar do reconhecimento generalizado de sua importância, enfraquece seriamente a implementação de proteções robustas de ponta a ponta. Projetar e construir com a segurança em mente ainda é uma ideia desconhecida para muitas equipes. Assim como o fato de que deve ser um processo contínuo e adaptável a outras.
Configuração de APIs: as configurações incorretas, o calcanhar de Aquiles da segurança de APIs, continuam sendo um problema no gerenciamento da segurança de APIs. Isso abrange vários aspectos que podem dar errado na implementação de uma API, como deixar métodos não utilizados ativados, abandonar endpoints padrão que não estão em uso e registro excessivo. Há uma dependência de configurações estáticas em vez de ajustes contínuos e adaptativos que se alinham à evolução da inteligência contra ameaças.
O progresso nesse setor é prejudicado por três causas principais:
Conhecimento/experiência: ignorância. Indivíduos/equipes sem conhecimento, compreensão ou consciência da segurança específica de APIs. Isso pode se originar de uma falta de exposição, educação ou curiosidade.
Fundos: orçamento. As equipes são solicitadas a fazer mais com recursos limitados. Engenheiros experientes podem ter salários mais altos. As ferramentas ou gateways de segurança específicos de APIs normalmente não são gratuitos. O treinamento também é considerado caro. As organizações não têm em mente o custo de um ataque ao alocar fundos.
Prioridades: prazos. Muitas vezes, o lançamento de um novo produto/API é mais importante do que as etapas de segurança necessárias para a aprovação. Quando a segurança e o desenvolvimento não estão funcionando como uma orquestra, as manchetes estão no futuro da organização.
É importante observar que elas não são mutuamente exclusivas.
Visibilidade: se você não pode ver, não pode proteger. Seja chamado de descoberta ou inventário, o que importa é que sua equipe sempre saiba o que e onde. APIs ocultas, zumbis, beta e invisível são uma maneira rápida para os invasores entrarem em sua infraestrutura.
Arquitetura Zero Trust: toda solicitação de acesso é tratada como potencialmente maliciosa até que se prove o contrário, mudando o paradigma da confiança. Se prepare para quando seu provedor de identidade/SSO for hackeado.
Detecção de anomalias orientada por IA: a integração da inteligência artificial para a detecção de anomalias em tempo real. As organizações devem usar algoritmos de aprendizado de máquina para analisar padrões, comportamentos e desvios, permitindo a identificação proativa e a mitigação de possíveis ameaças.
Integração mais profunda do DevSecOps: incorporar a segurança perfeitamente ao processo de desenvolvimento não é mais uma sugestão, mas uma obrigação. O DevSecOps, com foco na integração e segurança contínuas, surge como uma estratégia fundamental para ecossistemas de API resilientes.
Defesa em profundidade: sua estratégia de segurança deve ser em camadas. Seu sistema impede o ataque volumétrico? Em caso afirmativo, ele tem verificações sólidas de autorização/autenticação? Em caso afirmativo, ele tem um fluxo de criptografia robusto? Se sim ...
Essas e outras soluções populares sugeridas, como, por exemplo modelagem de ameaças, IAM descentralizado, feeds de inteligência em tempo real, respostas automatizadas, segurança de rede aprimorada, validação de tempo de execução, etc., tudo isso se enquadra em três categorias principais que devem ser consideradas:
Governança - Pense em seus processos, políticas e práticas
Ferramentas - Invista em suas tecnologias
Pessoas - Treinamento, testes, cultura
Indivíduos, equipes e organizações devem se lembrar de que não existe uma solução única para isso. Você deve levar em conta seus níveis de aceitação de risco, suas necessidades corporativas, seus requisitos regulamentares etc. Você também deve aprender com todos os ataques que ocorreram antes de você. Se você for vítima, também é útil ser transparente (não apenas por motivos regulatórios), mas também para permitir que outras pessoas se beneficiem de sua experiência.
Com o fim de 2023, fica claro que descobrir o complexo desafio da segurança de APIs exige uma abordagem multifacetada que aborde as causas básicas com precisão e adote soluções modernas. As organizações dispostas a investir em uma defesa proativa e dinâmica estarão em melhor posição para navegar no cenário ameaçador de ameaças. As organizações devem se certificar de que existam definições de regras que sejam aplicadas desde o conceito até a descontinuidade.
Fique atento! E um Feliz Ano Novo para você!
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre como proteger as APIs à medida que elas impulsionam os negócios no artigo técnico Guide to API Security.
Damiete King-Harry — @damiete
Solutions Architect, Cloudflare
Após ler este artigo, você entenderá:
Por que os ataques à API talvez sejam mais perigosos do que nunca
O valor do top dez de APIs do OWASP
Como proteger sua organização com soluções modernas e sofisticadas