BLOG

Riscos e desafios de segurança de API modernos resolvidos com soluções de proteção de API e aplicativo da Web (WAAP)

Ian Dinno Miniatura
Ian Dinno
Publicado em 21 de julho de 2023

Os aplicativos modernos exigem um conjunto avançado de recursos para proteger suficientemente toda a sua superfície de ameaças. Os firewalls de aplicativos da Web (WAFs) ainda desempenham um papel, mas conforme os aplicativos evoluem e as APIs persistem, é necessário mais para monitorar, rastrear e proteger toda a superfície do aplicativo, incluindo uma rede crescente de conexões de API.

Algumas limitações potenciais de WAFs no suporte à segurança de API

Embora os WAFs sejam ferramentas valiosas para a segurança de APIs , nem todos os WAFs são criados iguais, com alguns apresentando limitações quando se trata de proteger APIs. Tais limitações podem incluir:

  • Lidando com autorização de API complexa: As APIs geralmente empregam mecanismos de autorização mais complexos além da autenticação tradicional baseada em sessão usada em aplicativos da web. Os WAFs podem ter dificuldade para lidar com esquemas de autorização complexos, como OAuth 2.0, JWT (JSON Web Tokens) ou autenticação personalizada baseada em tokens.
  • Analisando variações de protocolo e carga útil: As APIs podem utilizar vários protocolos (REST, GraphQL, SOAP) e formatos de carga útil (JSON, XML) com diferentes estruturas de dados e esquemas. Os WAFs podem ter suporte limitado para analisar e validar essas variações, o que pode levar a uma visibilidade limitada e a mais falsos positivos — ou falsos negativos — na detecção de ameaças.
  • Limitação de taxa: A limitação de taxa da API é crucial para proteger contra comportamento abusivo e esgotamento de recursos da API. Os WAFs podem enfrentar dificuldades para limitar com precisão o tráfego da API devido à natureza dinâmica das solicitações da API e à exigência de limitação de taxa com base em parâmetros específicos da API.
  • Insights sobre ataques específicos de API: As APIs são suscetíveis a vetores de ataque específicos, como poluição de parâmetros, ataques de injeção específicos de API ou cenários de abuso de API. Os WAFs podem não ter regras ou heurísticas especializadas para detectar e mitigar efetivamente esses ataques específicos de API.
  • Funcionalidade de gerenciamento de API: Os WAFs se concentram principalmente em aspectos de segurança e podem não ter os recursos abrangentes de gerenciamento de API necessários para governança de API, documentação, controle de versão e funcionalidades do portal do desenvolvedor.

Aumentando WAFs para Segurança de API

É importante observar que, embora os WAFs continuem sendo a base da segurança de aplicativos e sejam uma camada fundamental para proteger APIs, é necessário mais. As organizações estão considerando e implementando uma variedade de abordagens, por uma combinação de razões: custo, complexidade, conceitos equivocados e mal-entendidos sobre como proteger APIs adequadamente e muito mais. Muitas organizações estão ampliando seus WAFs existentes com gateways de API para criar, gerenciar e publicar suas APIs, ao mesmo tempo em que aplicam políticas de uso e controlam o acesso. Este é um bom ponto de partida, mas ainda deixa muitas lacunas na postura de segurança da API.

Então, o que vem a seguir? Como lidar com APIs desconhecidas/sombra? E quanto ao controle granular de endpoint de API? E quanto às APIs de terceiros que você não necessariamente controla? Vamos encarar o desafio com o desconhecido... APIs sombra. Isso pode levar uma organização a procurar uma ferramenta especializada em descoberta de API e vulnerabilidade para adicionar à mistura enquanto trabalha para cobrir todas as bases de API.

Você vê onde isso vai dar? As coisas ficam muito complexas muito rapidamente. Algumas organizações com orçamento, experiência e recursos preferem uma abordagem de melhor qualidade, mas para a maioria, cobrir a superfície de ameaça à segurança da API com uma colcha de retalhos de soluções diferentes apenas perpetua um dos maiores desafios de segurança, que é a COMPLEXIDADE . Adicionar mais soluções pontuais pode se tornar insustentável rapidamente, sem mencionar que dificulta bastante o monitoramento e a visibilidade eficazes.

Como os WAAPs podem ajudar – Fornecendo segurança abrangente de aplicativos e APIs

Entre nas soluções de proteção de API e aplicativos da web (WAAP) . Por que você acumularia mais tecnologias independentes, provavelmente de fornecedores diferentes, e que não correlacionam insights de forma coesa ao seu já complexo ecossistema de segurança de aplicativos? Daí a evolução em direção (e desenvolvimento de) ofertas WAAP. Soluções WAAP modernas podem ser parte da resposta às necessidades de segurança para ambientes de aplicativos modernos, baseados em microsserviços, multinuvem e híbridos, combinando os recursos encontrados em WAFs tradicionais com funções especializadas que são essenciais para monitorar e proteger APIs, tudo em uma solução consolidada (geralmente fornecida como SaaS).

Equívocos comuns sobre WAAPs e sua capacidade de monitorar e proteger APIs

Há ideias equivocadas sobre os WAAPs de que eles não têm a funcionalidade necessária para fornecer segurança de API abrangente. Alguns dos mitos que você pode ter ouvido incluem que os WAAPs não conseguem monitorar e rastrear APIs ao longo do tempo e identificar anomalias, que não conseguem recursos avançados de aprendizado para acompanhar endpoints de aplicativos e APIs novos e em mudança, ou que não conseguem rastrear e discernir a intenção do usuário final.

Isso é simplesmente falso. Muitas soluções WAAP modernas, como o F5 Distributed Cloud WAAP, são desenvolvidas com recursos de IA/ML que potencializam funções críticas de segurança de API, como descoberta automática de API, aplicação de esquema, detecção de anomalias de usuário e API e muito mais. E diferentemente do que está disponível com muitos produtos de segurança pontuais somente de API que dependem de análise fora de banda, com as soluções WAAP a análise de tráfego e o bloqueio de tráfego de aplicativos e API acontecem em uma única solução inline. Não há necessidade de transmitir ou espelhar dados para uma solução (ou soluções) separada, o que pode atrasar a análise, a detecção e a mitigação de ameaças.

Para saber mais sobre o F5 Distributed Cloud WAAP e seus recursos de segurança de API, confira nosso site e uma breve demonstração da solução em ação.