A proliferação de APIs de um tecido de endpoints e integrações em constante expansão torna impraticável para as equipes de segurança identificar e proteger a lógica comercial essencial usando métodos manuais. As APIs estão cada vez mais distribuídas em infraestruturas heterogêneas, incluindo ambientes híbridos e de várias nuvens, o que faz com que a lógica comercial essencial seja exposta fora do domínio dos controles de segurança centralizados. Além disso, como as equipes de desenvolvimento de aplicativos se movem rapidamente para inovar, as chamadas de API podem acabar ocultas na lógica de negócios, dificultando sua identificação. 

Com tanta ênfase na velocidade da inovação, a segurança muitas vezes é deixada para trás. Às vezes, a segurança é simplesmente ignorada no projeto das próprias APIs. Muitas vezes, a segurança é considerada, mas a política é mal configurada devido à complexidade das nuances da manutenção de implementações de aplicativos que abrangem várias nuvens e arquiteturas. 

Como as APIs são projetadas para a troca de dados entre máquinas, muitas APIs representam uma rota direta para dados confidenciais, geralmente sem os mesmos controles de risco que a validação de entrada em formulários da Web voltados para o usuário. No entanto, esses pontos de extremidade estão sujeitos aos mesmos ataques que assolam os aplicativos da Web, ou seja, explorações de vulnerabilidades, abuso da lógica de negócios e desvio de controles de acesso que podem levar a violações de dados, tempo de inatividade e sequestro de contas (ATO).

Os endpoints de API não só devem ser avaliados com os mesmos controles de risco que os aplicativos da Web, como também são necessárias considerações adicionais para atenuar o risco não intencional dos endpoints que estão fora do alcance das equipes de segurança ou que foram essencialmente abandonados, como é o caso das APIs shadow e zumbis. 

Como as APIs são suscetíveis a muitos dos mesmos ataques conhecidos por terem como alvo os aplicativos da Web, os incidentes de segurança das APIs têm sido a causa de algumas das violações de dados de maior visibilidade. Riscos como controles fracos de autenticação/autorização, configuração incorreta, abuso de lógica comercial e falsificação de solicitações do lado do servidor (SSRF) afetam tanto os aplicativos da Web quanto as APIs. Explorações de vulnerabilidade e abuso de bots e automação mal-intencionada são as principais preocupações:

• Injeção e Cross-site scripting (XSS) podem levar ao acesso não autorizado de dados.
• A negação de serviço distribuída (DDoS) pode interromper serviços críticos e geradores de receita.
• Credential stuffing e outros ataques automatizados podem levar a comprometimento, violação de dados e fraude.

Os aplicativos têm se movido em direção a um modelo cada vez mais distribuído e descentralizado, com APIs servindo como interconexão. Aplicativos móveis e integrações de terceiros que aumentam o valor do negócio tornaram-se apostas de mesa para competir com sucesso em um mundo on-line. A pesquisa da F5 Labs detalha como as APIs são um alvo crescente à medida que mais setores adotam arquiteturas de aplicativos modernas - em parte porque as APIs são mais estruturadas e mais fáceis de serem trabalhadas pelos invasores.

O risco aumenta quando as APIs são amplamente distribuídas sem uma estratégia de governança holística. Esse risco é exacerbado por um processo contínuo de ciclo de vida de aplicativos, em que os aplicativos e as APIs estão em constante mudança ao longo do tempo devido à integração com cadeias de suprimentos complexas e à automação por meio de pipelines de CI/CD.

A variedade de interfaces e a possível exposição a riscos significam que as equipes de segurança precisam proteger a porta da frente, bem como todas as janelas que representam os blocos de construção dos aplicativos modernos.

Os avanços no aprendizado de máquina possibilitam descobrir dinamicamente os pontos de extremidade da API e mapear automaticamente suas interdependências, fornecendo uma maneira prática de analisar os padrões de comunicação da API ao longo do tempo e identificar APIs obscuras ou não documentadas que aumentam o risco.  

Além disso, o monitoramento e a análise contínuos de endpoints permitem que as linhas de base de segurança sejam construídas de forma autônoma, proporcionando detecção em tempo real, pontuação de risco automatizada e atenuação de usuários mal-intencionados sem aumentar desnecessariamente a carga de trabalho da sua equipe de segurança.

Essa proteção contínua e automatizada resulta em políticas altamente calibradas que podem ser aplicadas de forma consistente em todas as arquiteturas para todas as APIs - mitigando explorações, impedindo bots e abusos, e reforçando o esquema, a conformidade do protocolo e o controle de acesso.

As empresas precisam modernizar seus aplicativos legados e, ao mesmo tempo, desenvolver novas experiências de usuário, aproveitando arquiteturas modernas e integrações de terceiros. Uma estratégia de governança holística que proteja as APIs do núcleo à nuvem e à borda oferece suporte à transformação digital e reduz os riscos conhecidos e desconhecidos.

As soluções F5 fornecem a flexibilidade para operar em qualquer ambiente. A visibilidade universal e as proteções automatizadas baseadas em ML maximizam a eficácia e aliviam a carga das equipes de segurança. A F5 pode consolidar soluções de nicho e pure-play e proteger consistentemente ambientes híbridos e multinuvem para melhorar a resiliência e a correção.

As principais considerações para a implantação da segurança da API incluem:

1. Suporte híbrido e de várias nuvens 
   A visibilidade universal e a aplicação consistente de políticas reduzem a complexidade, a proliferação de ferramentas e o risco de configuração incorreta, além de aumentar a velocidade da correção.
   
   
2. Integração com os processos de desenvolvimento existentes
   As equipes de segurança podem acompanhar o ciclo de vida do aplicativo integrando a política de segurança aos pipelines de CI/CD por meio de um registro terraform nativo.
   
   
3. Modelo de segurança positivo
   As soluções F5 simplificam a política com um modelo de segurança positivo que aplica o esquema usando definições OpenAPI, arquivos Swagger e princípios de confiança zero.
   
   
4. Defesas automatizadas
   A detecção de anomalias com base emML corrige explorações de vulnerabilidades, abuso de lógica comercial e negação de serviço sem sobrecarregar as equipes de segurança com o ajuste de políticas em vários ambientes ou falsos positivos excessivos.
   
   
5. Visualizações ricas
   Os painéis de segurança com suporte de detalhamento em linhas de base de uso de API ajudam os operadores a correlacionar insights e simplificar a resposta a incidentes.


6. Resiliência de segurança
   A telemetria durável e o aprendizado de máquina altamente treinado permitem uma segurança mais eficiente e eficaz que acompanha a velocidade dos negócios digitais e atenua os ataques emergentes de IA adversária.

As soluções F5 protegem as APIs em todo o portfólio corporativo, descobrindo continuamente e protegendo automaticamente a lógica comercial crítica e as integrações de terceiros em nuvens e arquiteturas.  

Uma política de segurança abrangente e consistente, aliada a defesas resilientes com tecnologia ML, permite que as organizações alinhem a segurança da API à estratégia digital. Isso permite que as empresas aprimorem o gerenciamento de riscos, inovem com confiança e simplifiquem as operações.

Veja F5 Distributed Cloud em ação.