Seis princípios de uma estratégia holística de segurança de APIs

Enquanto a UX é a cara dos seus aplicativos, as APIs são a espinha dorsal da sua organização. Um erro comum que muitas empresas cometem é considerar uma API apenas como uma camada de interface sobre um aplicativo. A realidade é que as APIs servem como tecido conjuntivo para seus aplicativos e ecossistemas de terceiros, que estão cada vez mais distribuídos em arquiteturas híbridas e multinuvem. Embora as APIs estejam sujeitas a alguns dos mesmos riscos que os aplicativos da web — como exploração de vulnerabilidades, abuso de lógica de negócios e configuração incorreta —, há outros riscos significativos. Isso inclui ataques que ignoram controles fracos de autenticação e autorização, inventário impróprio e uso inseguro de APIs de terceiros. O risco é ainda maior pela velocidade dos negócios digitais empregados por meio de cadeias de fornecimento de software complexas e pipelines de CI/CD automatizados que podem resultar em APIs “não autorizadas”. Especificamente, isso inclui APIs shadow e zumbis que são desconhecidas pelas equipes de segurança e/ou não são mantidas pelas equipes de desenvolvimento. Neste artigo, exploraremos 6 princípios de uma abordagem holística e completa para a segurança de API.

1. Entenda suas APIs e endpoints

Há uma chance muito real de que, se você tentasse, não conseguiria identificar todos os endpoints da API em seu ambiente agora. Mas infelizmente, talvez não possamos dizer o mesmo de pessoas mal-intencionadas. Se existir um ponto de extremidade, ele pode ser usado como uma forma de entrada. 

Além disso, oferecer APIs públicas permite que você receba consultas de uma infinidade de clientes, parceiros e aplicativos. Isso também expõe sua organização a concessões. Há uma série de controles de risco que precisam ser considerados para proteger sua organização de ataques que podem levar a violações e tempo de inatividade.

2. Encontre um equilíbrio entre inovação e segurança

É uma luta clássica. Por um lado, a vontade de ser ousado, de ultrapassar os limites, de fazer o que seus concorrentes não conseguem, é a pedra angular de qualquer negócio de sucesso. Mas, por outro lado, permanecer seguro nem sempre é bem-vindo com as inovações mais recentes.

A chave para encontrar o equilíbrio é tripla:

  • Crie uma estratégia de governança de API para cada tipo de API a fim de definir os controles de segurança apropriados.
  • Implemente políticas de segurança de API que possam ser aplicadas de forma consistente onde quer que as APIs sejam implantadas.
  • Adapte-se a ameaças emergentes, comportamento anômalo e usuários mal-intencionados que tentam explorar ou abusar de APIs usando IA para diminuir a carga sobre as equipes de segurança.

Dependendo do seu setor, os padrões de conformidade variam, com alguns exigindo segurança mais rigorosa do que outros. De qualquer forma, é essencial que sua postura de segurança de API seja robusta o suficiente para enfrentar uma enxurrada de vetores de ameaças.

3. Gerenciar riscos durante todo o ciclo de vida do desenvolvimento

O teste de segurança de API não é algo feito apenas uma vez. Testar antes, durante e depois da implantação é fundamental. Ao incluir testes em cada estágio do desenvolvimento, você ganha muito mais oportunidades de identificar fraquezas e vulnerabilidades antes que uma violação aconteça. E embora ferramentas de teste específicas de segurança sejam ótimas, não se esqueça também da modelagem de casos de uso de segurança.

A segurança precisa se dar no mesmo ciclo de vida contínuo das próprias aplicações, ou seja, deve haver uma sólida integração com pipelines de CI/CD, provisionamento de serviços e ecossistemas de monitoramento de eventos.

4. Proteções de camadas do back-end ao cliente final

Dos clientes externos à infraestrutura interna de backend, cada parte da arquitetura deve ter suas próprias medidas de proteção.

Além disso, práticas de segurança testadas e comprovadas continuam válidas — arquiteturas de negação padrão, criptografia forte e acesso de menor privilégio.

Ao pensar sobre proteção na camada de API, é útil primeiro classificar suas APIs em duas categorias: interna e externa. APIs internas são mais fáceis de proteger, pois o provedor da API pode coordenar medidas de segurança com as equipes do aplicativo. Para APIs externas, o cálculo de risco é diferente. Você pode (e deve) implementar proteções em nível de API que fazem três coisas:

  • Reduza a oportunidade de violação de segurança com inteligência de ameaças em tempo real e mecanismos de controle de acesso, como tokens de sessão reforçados.
  • Estabeleça padrões de tráfego normais e anormais.
  • Restrinja o uso da API e forneça controle granular de quaisquer agregadores aprovados e integrações de terceiros.

No nível de produção, o grande volume de tráfego da expansão da API exige o uso de IA para detectar comportamentos anômalos e usuários mal-intencionados.

5. Tenha as estratégias e ferramentas certas

Assim como não existe um alimento que nos mantenha totalmente nutridos, não existe uma ferramenta de segurança que proteja totalmente as APIs. Em vez disso, você precisa desenvolver uma estratégia que empregue um ecossistema completo de ferramentas como parte de uma arquitetura de segurança holística. 

Considere as seguintes ferramentas:

  • Gateway de API
  • Teste de segurança de aplicações (SAST e DAST)
  • Um firewall de aplicativo da web (WAF)
  • Gerenciamento de bots
  • Mitigação de DDoS

Os gateways de API fornecem recursos robustos de inventário e gerenciamento, mas fornecem apenas segurança básica, como limitação de taxa, o que não deterá invasores sofisticados. Além disso, a proliferação de APIs está levando à proliferação de ferramentas, incluindo a proliferação de gateways de API.

Os testes de segurança de aplicativos são sempre essenciais, mas as metodologias de mudança para a esquerda para segurança robusta de aplicativos durante o desenvolvimento precisam ser complementadas com práticas de proteção para a direita, ou seja, proteger endpoints de API na produção. 

Firewalls de aplicativos da Web fornecem uma solução temporária crítica para mitigar explorações de vulnerabilidades de aplicativos, mas normalmente não possuem os recursos de descoberta dinâmica necessários para detectar continuamente APIs "desonestas" (sombra/zumbi).

O gerenciamento de bots para APIs não pode depender de controles de segurança comumente usados, como autenticação multifator (MFA) e CAPTCHA, pois o tráfego de API normalmente é de máquina para máquina e não há interação humana direta, exceto dentro de interfaces de usuário em sistemas baseados em API. 

A mitigação tradicional de DDoS se concentra em ataques de rede e volumétricos, enquanto as APIs podem estar sujeitas a ataques direcionados da camada 7 que abusam da lógica empresarial crítica. O resultado final é o mesmo: degradação do desempenho e, potencialmente, tempo de inatividade. Mas a descoberta dinâmica de API, a aplicação de esquemas, o controle de acesso e as proteções automatizadas baseadas em aprendizado de máquina surgiram como recursos essenciais do ecossistema para defender APIs.

6. Segurança híbrida e multi-nuvem

A proliferação de APIs está gerando uma expansão arquitetônica insustentável em ambientes híbridos e de múltiplas nuvens. Mais uma vez, a proliferação de APIs levou à proliferação de gateways de API, pois muitas ferramentas de segurança não conseguem fornecer segurança consistente em diversas arquiteturas, como data center, nuvem privada/pública e edge. A visibilidade e o controle do tráfego de API em todo o ecossistema digital são essenciais para mitigar a próxima vulnerabilidade crítica e evitar configurações incorretas que podem ocorrer quando os endpoints são distribuídos entre diferentes provedores de nuvem.

APIs seguras em todos os lugares que estão

As APIs estão em todos os lugares — no data center, nas nuvens, na borda — e estão interconectadas por trás de aplicativos da web, aplicativos móveis e integrações de terceiros associadas. 

As APIs precisam ser protegidas onde quer que estejam, e a segurança nunca deve ficar para trás. Em vez disso, garanta que sua estratégia inclua soluções que defendam continuamente a lógica empresarial crítica por trás das APIs e protejam consistentemente sua estrutura digital conectada à API, para que você possa otimizar as operações e inovar com confiança.

Recursos