BLOG

15 perguntas a serem feitas sobre sua postura de API

Miniatura de Chuck Herrin
Chuck Herrin
Publicado em 01 de novembro de 2024

Tenho um segredo que vou compartilhar com você hoje. Das seis funções de diretor de segurança da informação (CISO) que ocupei nos últimos 20 anos, apenas uma me recrutou devido a uma violação. Um. 

Os outros cinco ocorreram devido à rotatividade ou o titular foi substituído devido à perda de confiança das principais partes interessadas. Metade deles foi substituída devido à perda de confiança, não a uma violação.

Por que os CISOs precisam entender seu ambiente de API

No âmbito da segurança de API, podemos resumir a necessidade de os CISOs entenderem suas exposições de API em algumas declarações. 

Primeiro, você precisa saber quatro coisas para criar um modelo de ameaça para um determinado ambiente: seus ativos, atores, interfaces e ações. Em outras palavras, “Quem está fazendo o quê, para quê, através de quê?”

Em segundo lugar, o “I” em API é “interface”. Interfaces de programação de aplicativos são amplamente utilizadas em diversas plataformas, linguagens e estruturas, e quase todo o desenvolvimento de software moderno prioriza APIs. Você tem APIs em seu ambiente, garantido. 

Terceiro, se você, como CISO, não tiver um inventário das interfaces que expõem e fornecem seus dados confidenciais, seja internamente ou para seus aplicativos web e móveis, você terá um modelo de ameaça incompleto e pontos cegos correspondentes onde serviços e dados são expostos. 

Por fim, modelos de ameaças incompletos carecem de supervisão de segurança abrangente e demonstração de devido cuidado, duas áreas críticas que auditores e reguladores são responsáveis por garantir que ocorram. É responsabilidade deles garantir que ativos, atores, interfaces e ações em um determinado ambiente sejam compreendidos e gerenciados. 

Avaliando a exposição da segurança da sua API

Aqui na F5, sempre queremos que nossos clientes sejam as pessoas mais inteligentes da sala, por isso criamos uma lista rápida de perguntas que você pode usar para avaliar o estado atual do seu ecossistema de API. Ao responder a essas perguntas agora, você estará preparado caso sejam feitas perguntas posteriormente, durante um exame de campo ou auditoria externa. 

Eu pessoalmente compartilhei essas questões com reguladores e examinadores de diversas agências. Agora que os EUA... A Comissão Federal de Comunicações começou a emitir multas e decretos de consentimento especificamente para problemas de API e a versão atual do Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) 4.0+ exige conformidade com API especificamente em desenvolvimento. Nunca foi tão bom para os defensores terem essas respostas prontas em mãos. 

Mesmo que você não consiga responder a todas elas, saber onde você está e demonstrar uma postura proativa é extremamente importante para os CISOs. Ao demonstrar que você está no topo da compreensão e evolução da sua postura de segurança de API, você manterá a confiança que tanto trabalhou para ganhar. 

Aqui está a lista, da mais fácil para a mais difícil. Se você tiver dificuldade em chegar tão longe na lista quanto gostaria, ligue para sua equipe de contas F5. Estamos aqui para ajudar.

  1. Quem é o responsável pela segurança da API da nossa empresa?
  2. Nossas APIs têm proprietários atribuídos?
  3. Quanto da nossa receita vem por meio de APIs?
  4. Quantas APIs temos?
  5. Quantos deles são usados ativamente e quantos estão inativos?
  6. Quantos são vulneráveis aos 10 problemas mais comuns de API ?
  7. Nossos testes de penetração cobrem adequadamente vulnerabilidades de API e ataques à lógica de negócios em produção?
  8. Quais de nossas APIs transmitem ou recebem dados sujeitos à conformidade legal ou regulatória?
  9. Estamos vendo tráfego malicioso? Em quais endpoints da API?
  10. Qual é o nosso risco geral de segurança de API? Melhorou ou piorou em relação ao mesmo período do ano passado?
  11. Existem algumas equipes de desenvolvimento que produzem mais problemas de API do que outras? Como eles são treinados e recebem feedback sobre problemas de segurança de API?
  12. Existe um processo de verificação de alterações de código e API antes que elas entrem em produção?
  13. Quem recebe alertas sobre eventos de segurança detectados em nossas APIs?
  14. Qual é o tempo médio de resposta em minutos quando um ataque de autorização de nível de objeto quebrado (BOLA) é detectado em uma de nossas APIs de produção?
  15. E, finalmente, voltando ao básico no topo da lista: as pessoas que achamos que são donas da segurança da API sabem e concordam que são donas dela?

Apertando sua postura de segurança

Avaliar seu ambiente de API e as potenciais ameaças que as APIs representam é o primeiro passo para expor pontos cegos e reforçar sua postura de segurança.   

Participe do F5 esta semana no API World em Santa Clara, Califórnia, para aprender tudo sobre APIs. Falarei na quinta-feira às 13h PST junto com dois dos meus colegas em uma sessão aberta, “Um mundo de IA é um mundo de APIs: “Protegendo os aplicativos mais modernos dos modernos”, e esta mesma sessão será realizada virtualmente na quinta-feira, 14 de novembro, às 13h. 

A F5 também sediará a sessão virtual “API CTF: Aprenda os fundamentos da segurança de API”, na terça-feira, 12 de novembro, às 9h. 

Não vai para o API World? Confira nossa demonstração de segurança de API