As interfaces de programação de aplicativos (APIs) são o tecido conjuntivo por trás da modernização digital, ajudando aplicativos e bancos de dados a trocar dados de forma mais eficaz. O relatório sobre o estado da segurança de API em 2024 da Imperva, uma empresa Thales, descobriu que a maior parte do tráfego da Web (71%) em 2023 consistia em chamadas de API. Além do mais, um web site corporativo típico viu uma média de 1,5 bilhão de chamadas de API em 2023.
O grande quantity de tráfego da Web que passa pelas APIs deve ser motivo de preocupação para todos os profissionais de segurança. Apesar dos melhores esforços para adotar estruturas shift-left e processos SDLC, as APIs muitas vezes ainda são colocadas em produção antes de serem catalogadas, autenticadas ou auditadas. Em média, as organizações têm 613 endpoints de API em produção, mas esse número está aumentando rapidamente à medida que cresce a pressão para fornecer serviços digitais aos clientes de forma mais rápida e eficiente. Com o tempo, essas APIs podem se tornar endpoints vulneráveis e arriscados.
Em seu relatório, a Imperva conclui que as APIs são agora um vetor de ataque comum para os cibercriminosos porque são um caminho direto para acessar dados confidenciais. Na verdade, um estudo do Marsh McLennan Cyber Threat Analytics Heart conclui que os incidentes de segurança relacionados com API custam às empresas globais até 75 mil milhões de dólares anualmente.
Mais chamadas de API, mais problemas
Os bancos e o varejo on-line relataram os maiores volumes de chamadas de API em comparação com qualquer outro setor em 2023. Ambos os setores dependem de grandes ecossistemas de API para fornecer serviços digitais aos seus clientes. Portanto, não é surpresa que os serviços financeiros, que incluem a banca, tenham sido o principal alvo de ataques relacionados com APIs em 2023.
Os cibercriminosos usam uma variedade de métodos para atacar endpoints de API, mas um vetor de ataque comum é o controle de conta (ATO). Este ataque ocorre quando os cibercriminosos exploram vulnerabilidades nos processos de autenticação de uma API para obter acesso não autorizado às contas. Em 2023, quase metade (45,8%) de todos os ataques ATO tiveram como alvo endpoints de API. Essas tentativas são frequentemente realizadas por automação na forma de bots mal-intencionados, agentes de software program que executam tarefas automatizadas com intenções maliciosas. Quando bem sucedidos, estes ataques podem bloquear o acesso dos clientes às suas contas, fornecer aos criminosos dados sensíveis, contribuir para a perda de receitas e aumentar o risco de incumprimento. Considerando o valor dos dados que os bancos e outras instituições financeiras gerem para os seus clientes, a ATO é um risco empresarial preocupante.
Por que APIs mal gerenciadas são uma ameaça à segurança
Mitigar o risco de segurança de APIs é um desafio único que frustra até mesmo as equipes de segurança mais sofisticadas. O problema decorre do ritmo acelerado de desenvolvimento de software program e da falta de ferramentas e processos maduros para ajudar os desenvolvedores e as equipes de segurança a trabalharem de forma mais colaborativa. Como resultado, quase uma em cada 10 APIs é vulnerável a ataques porque não foi descontinuada corretamente, não é monitorada ou não possui controles de autenticação suficientes.
Em seu relatório, a Imperva identificou três tipos comuns de endpoints de API mal gerenciados que criam riscos de segurança para as organizações: APIs ocultas, obsoletas e não autenticadas.
- APIs de sombra: Também conhecidas como APIs não documentadas ou não descobertas, são APIs que não são supervisionadas, esquecidas e/ou estão fora da visibilidade da equipe de segurança. A Imperva estima que as APIs sombra representam 4,7% da coleção de APIs ativas de cada organização. Esses endpoints são introduzidos por vários motivos: desde a finalidade de teste de software program até o uso como conector para um serviço de terceiros. Surgem problemas quando esses endpoints de API não são catalogados ou gerenciados adequadamente. As empresas devem se preocupar com as APIs ocultas porque normalmente têm acesso a informações confidenciais, mas ninguém sabe onde elas existem ou a que estão conectadas. Uma única API sombra pode levar a uma violação de conformidade e multa regulatória ou, pior, um cibercriminoso motivado abusará dela para acessar dados confidenciais de uma organização.
- APIs obsoletas: A descontinuação de um endpoint de API é uma progressão pure no ciclo de vida do software program. Como resultado, a presença de APIs obsoletas não é incomum, pois o software program é atualizado em um ritmo rápido e contínuo. Na verdade, a Imperva estima que as APIs obsoletas, em média, representam 2,6% da coleção de APIs ativas de uma organização. Quando o endpoint for obsoleto, os serviços que suportam esses endpoints serão atualizados e uma solicitação para o endpoint obsoleto deverá falhar. No entanto, se os serviços não forem atualizados e a API não for removida, o endpoint se tornará vulnerável porque não possui os patches e a atualização de software program necessários.
- APIs não autenticadas: Freqüentemente, APIs não autenticadas são introduzidas como resultado de configuração incorreta, descuido de um processo de lançamento apressado ou do relaxamento de um processo de autenticação rígido para acomodar versões mais antigas de software program. Essas APIs representam, em média, 3,4% da coleção de APIs ativas de uma organização. A existência de APIs não autenticadas representa um risco significativo para as organizações, pois pode expor dados ou funcionalidades confidenciais a usuários não autorizados e levar a violações de dados ou manipulação do sistema.
Para mitigar os vários riscos de segurança introduzidos por APIs mal gerenciadas, é recomendável realizar auditorias regulares para identificar endpoints de API não monitorados ou não autenticados. O monitoramento contínuo pode ajudar a detectar qualquer tentativa de explorar vulnerabilidades associadas a esses endpoints. Além disso, os desenvolvedores devem atualizar e atualizar regularmente as APIs para garantir que os endpoints obsoletos sejam substituídos por alternativas mais seguras.
Como proteger suas APIs
A Imperva oferece diversas recomendações para ajudar as organizações a melhorar sua postura de segurança de API:
- Descubra, classifique e inventariie todas as APIs, endpoints, parâmetros e cargas úteis. Use a descoberta contínua para manter um inventário de API sempre atualizado e divulgar a exposição de dados confidenciais.
- Identifique e proteja APIs confidenciais e de alto risco. Execute avaliações de risco visando especificamente endpoints de API vulneráveis a autorização e autenticação quebradas, bem como exposição excessiva de dados.
- Estabeleça um sistema de monitoramento robusto para endpoints de API para detectar e analisar ativamente comportamentos suspeitos e padrões de acesso.
- Adote uma abordagem de segurança de API que integra Internet Utility Firewall (WAF), proteção de API, prevenção de negação de serviço distribuída (DDoS) e proteção de bot. Uma ampla gama de opções de mitigação oferece flexibilidade e proteção avançada contra ameaças de API cada vez mais sofisticadas, como ataques à lógica de negócios, que são particularmente difíceis de defender, pois são exclusivos de cada API.
