Há uma chance muito real de que, se você tentasse, não conseguiria identificar todos os endpoints da API em seu ambiente agora. Mas infelizmente, talvez não possamos dizer o mesmo de pessoas mal-intencionadas. Se existir um ponto de extremidade, ele pode ser usado como uma forma de entrada.
Além disso, oferecer APIs públicas permite que você receba consultas de uma infinidade de clientes, parceiros e aplicativos. Isso também expõe sua organização a concessões. Há uma série de controles de risco que precisam ser considerados para proteger sua organização de ataques que podem levar a violações e tempo de inatividade.
É uma luta clássica. Por um lado, a vontade de ser ousado, de ultrapassar os limites, de fazer o que seus concorrentes não conseguem, é a pedra angular de qualquer negócio de sucesso. Mas, por outro lado, permanecer seguro nem sempre é bem-vindo com as inovações mais recentes.
A chave para encontrar o equilíbrio é tripla:
Dependendo do seu setor, os padrões de conformidade variam, com alguns exigindo segurança mais rigorosa do que outros. De qualquer forma, é essencial que sua postura de segurança de API seja robusta o suficiente para enfrentar uma enxurrada de vetores de ameaças.
O teste de segurança de API não é algo feito apenas uma vez. Testar antes, durante e depois da implantação é fundamental. Ao incluir testes em cada estágio do desenvolvimento, você ganha muito mais oportunidades de identificar fraquezas e vulnerabilidades antes que uma violação aconteça. E embora ferramentas de teste específicas de segurança sejam ótimas, não se esqueça também da modelagem de casos de uso de segurança.
A segurança precisa se dar no mesmo ciclo de vida contínuo das próprias aplicações, ou seja, deve haver uma sólida integração com pipelines de CI/CD, provisionamento de serviços e ecossistemas de monitoramento de eventos.
Dos clientes externos à infraestrutura interna de backend, cada parte da arquitetura deve ter suas próprias medidas de proteção.
Além disso, práticas de segurança testadas e comprovadas continuam válidas — arquiteturas de negação padrão, criptografia forte e acesso de menor privilégio.
Ao pensar sobre proteção na camada de API, é útil primeiro classificar suas APIs em duas categorias: interna e externa. APIs internas são mais fáceis de proteger, pois o provedor da API pode coordenar medidas de segurança com as equipes do aplicativo. Para APIs externas, o cálculo de risco é diferente. Você pode (e deve) implementar proteções em nível de API que fazem três coisas:
No nível de produção, o grande volume de tráfego da expansão da API exige o uso de IA para detectar comportamentos anômalos e usuários mal-intencionados.
Assim como não existe um alimento que nos mantenha totalmente nutridos, não existe uma ferramenta de segurança que proteja totalmente as APIs. Em vez disso, você precisa desenvolver uma estratégia que empregue um ecossistema completo de ferramentas como parte de uma arquitetura de segurança holística.
Considere as seguintes ferramentas:
Os gateways de API fornecem recursos robustos de inventário e gerenciamento, mas fornecem apenas segurança básica, como limitação de taxa, o que não deterá invasores sofisticados. Além disso, a proliferação de APIs está levando à proliferação de ferramentas, incluindo a proliferação de gateways de API.
Os testes de segurança de aplicativos são sempre essenciais, mas as metodologias de mudança para a esquerda para segurança robusta de aplicativos durante o desenvolvimento precisam ser complementadas com práticas de proteção para a direita, ou seja, proteger endpoints de API na produção.
Firewalls de aplicativos da Web fornecem uma solução temporária crítica para mitigar explorações de vulnerabilidades de aplicativos, mas normalmente não possuem os recursos de descoberta dinâmica necessários para detectar continuamente APIs "desonestas" (sombra/zumbi).
O gerenciamento de bots para APIs não pode depender de controles de segurança comumente usados, como autenticação multifator (MFA) e CAPTCHA, pois o tráfego de API normalmente é de máquina para máquina e não há interação humana direta, exceto dentro de interfaces de usuário em sistemas baseados em API.
A mitigação tradicional de DDoS se concentra em ataques de rede e volumétricos, enquanto as APIs podem estar sujeitas a ataques direcionados da camada 7 que abusam da lógica empresarial crítica. O resultado final é o mesmo: degradação do desempenho e, potencialmente, tempo de inatividade. Mas a descoberta dinâmica de API, a aplicação de esquemas, o controle de acesso e as proteções automatizadas baseadas em aprendizado de máquina surgiram como recursos essenciais do ecossistema para defender APIs.
A proliferação de APIs está gerando uma expansão arquitetônica insustentável em ambientes híbridos e de múltiplas nuvens. Mais uma vez, a proliferação de APIs levou à proliferação de gateways de API, pois muitas ferramentas de segurança não conseguem fornecer segurança consistente em diversas arquiteturas, como data center, nuvem privada/pública e edge. A visibilidade e o controle do tráfego de API em todo o ecossistema digital são essenciais para mitigar a próxima vulnerabilidade crítica e evitar configurações incorretas que podem ocorrer quando os endpoints são distribuídos entre diferentes provedores de nuvem.
As APIs estão em todos os lugares — no data center, nas nuvens, na borda — e estão interconectadas por trás de aplicativos da web, aplicativos móveis e integrações de terceiros associadas.
As APIs precisam ser protegidas onde quer que estejam, e a segurança nunca deve ficar para trás. Em vez disso, garanta que sua estratégia inclua soluções que defendam continuamente a lógica empresarial crítica por trás das APIs e protejam consistentemente sua estrutura digital conectada à API, para que você possa otimizar as operações e inovar com confiança.
Confira o novo relatório da Forrester que se aprofunda nos tópicos abordados neste artigo.