Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

Interface de Programação de Aplicação (API) são interfaces de software que permitem que os aplicativos se comuniquem. Por exemplo, você utiliza uma API toda vez que usa o Google ou o Twitter, envia uma mensagem instantânea ou verifica a previsão do tempo no seu telefone. Uma interface gráfica de usuário não é necessária para que o software se comunique. Em vez disso, as APIs são interfaces legíveis por máquina que permitem que os produtos de software compartilhem dados e funcionalidades com facilidade.

A dependência do desenvolvedor em APIs aumentou no ano passado em meio à pandemia global. Uma pesquisa do RapidAPI revela que essa dependência continuará a se expandir. Organizações de todos os tamanhos de uma ampla variedade de setores planejam ingressar na economia da API este ano, e o teste e a segurança da API foram as principais preocupações entre os entrevistados.

As APIs, como qualquer outro recurso disponível na internet, possuem vulnerabilidades. Portanto, manter a segurança é fundamental porque as APIs podem ser acessadas pela Internet, incluindo Uniform Resource Identifiers (URIs) com dados confidenciais anexados.

Riscos da API

As APIs dão a terceiros acesso aos seus dados por design. Cada API inclui um endpoint que responde a solicitações de API.

Existem falhas em todos os sistemas. Uma fraqueza em um sistema (hardware ou software) que um invasor pode explorar é conhecida como vulnerabilidade. Um endpoint de API é semelhante a um servidor da Web acessível pela Internet. Quanto maior o acesso livre e aberto do público a um recurso, maior a ameaça potencial dos abusadores. As APIs fornecem apenas controle de acesso mínimo, se houver. A superfície de ataque cresceu à medida que as APIs se tornaram uma parte essencial do desenvolvimento de aplicativos modernos. Por outro lado, muitos sites empregam controle de acesso e exigem que usuários autorizados façam login.

Um ataque de API ocorre quando um invasor usa uma API de forma maliciosa ou tenta violá-la. Os ataques de API afetam uma variedade de verticais e negócios. Ameaças perigosas estão se tornando mais comuns e aprimorando o direcionamento de aplicativos da web específicos.

O aumento de ameaças de segurança relacionadas à API nos últimos anos levou o Open Web Application Security Project (OWASP) a lançar o API Security Top 10, que ajuda a aumentar a conscientização sobre os problemas de segurança de API mais sérios que afetam as organizações.

Aplicação

À medida que as APIs se tornam mais centrais para os negócios modernos, a falta de clareza sobre quem é responsável pela segurança da API coloca organizações e usuários em perigo. Embora os riscos sejam conhecidos, quase um terço das APIs são aprovadas sem revisão pela equipe de segurança de TI de uma empresa.

Quem é responsável por proteger as APIs? Alguns acreditam que é trabalho dos desenvolvedores, enquanto outros pensam que é responsabilidade da equipe da API. Sem surpresa, as equipes de API culpam o DevOps, e o DevOps joga a bola de volta para o departamento de TI. Infelizmente, toda essa confusão leva a lacunas de segurança significativas, que hackers talentosos ficam felizes em explorar.

Quando tantas equipes lidam com o desenvolvimento da API, é difícil atribuir a responsabilidade pela sua segurança. Cada organização tem a sua própria estrutura e método de distribuição de responsabilidade, que muitas vezes é mal planejado e mal compreendido. As vulnerabilidades de segurança da API continuarão a ser exploradas por abusadores até que uma estrutura de propriedade definida esteja em vigor. No entanto, à medida que as APIs evoluem e se tornam mais amplamente utilizadas, as vulnerabilidades de segurança só aumentam.

Além disso, como as APIs operam em um ciclo constante de criação e atualizações, loops de feedback iterativo entre os estágios de desenvolvimento, teste e produção conectam as equipes de segurança e desenvolvimento e permitem um modelo de melhoria contínua da segurança.

O que você pode fazer

O software moderno é vulnerável a uma ampla gama de ameaças. Manter-se atualizado com as mais recentes explorações e problemas de segurança é uma prática inteligente, mas desafiadora. Ter benchmarks para esses problemas ajuda a garantir a segurança do aplicativo antes que ocorra um ataque.

Como as APIs criam tantos pontos de entrada na arquitetura de uma rede, colocar um firewall na frente de um servidor não é mais suficiente para proteger todos os pontos de entrada. Além disso, uma solução tradicional baseada em WAF não pode distinguir chamadas de API maliciosas e legítimas.

A única maneira de proteger totalmente as suas APIs é proteger e cobrir todas as APIs durante todo o ciclo de vida de desenvolvimento de software da API, pois várias equipes as desenvolvem. Como resultado, algumas vulnerabilidades só podem ser identificadas no nível do código em desenvolvimento. Algumas podem ser capturadas por testes com simulações inteligentes. Outras só podem ser descobertas monitorando APIs em tempo real na produção, definindo uma linha de base do comportamento esperado e detectando anomalias.

Os ataques DDoS são a mais complexa das duas ameaças, porque usam uma variedade de dispositivos que aumentam a gravidade dos ataques. Ser atacado por um computador não é o mesmo que ser atacado por uma botnet de cem dispositivos ou mais.

Parte de estar preparado para ataques DDoS é estar familiarizado com o maior número possível de formas de ataque. Nesta seção, veremos isso com mais detalhes para que você possa ver como esses ataques são usados para danificar as redes corporativas.

Os ataques DDoS podem vir de várias formas, incluindo:

Inundação SYN – Os ataques de inundação SYN são outro tipo de ataque DoS em que o invasor usa a sequência de conexão TCP para tornar a rede da vítima indisponível. O invasor envia solicitações SYN para a rede da vítima, que responde com uma resposta SYN-ACK. O remetente deve responder com uma resposta ACK, mas, em vez disso, o invasor não responde (ou usa um endereço IP de origem falsificado para enviar solicitações SYN). Cada solicitação que não é respondida ocupa recursos de rede até que nenhum dispositivo possa fazer uma conexão.

Slowloris – Slowloris é um tipo de software de ataque DDoS que foi originalmente desenvolvido por Robert Hansen ou RSnake para derrubar servidores web. Um ataque Slowloris ocorre quando o invasor envia solicitações HTTP parciais sem a intenção de completá-las. Para manter o ataque, o Slowloris envia periodicamente cabeçalhos HTTP para cada solicitação para manter os recursos da rede de computadores vinculados. Isso continua até que o servidor não possa fazer mais conexões. Essa forma de ataque é usada por invasores porque não requer nenhuma largura de banda.

Inundação HTTP – Em um ataque de Inundação HTTP, os usuários do invasor solicitam HTTP GET ou POST para lançar um ataque a um servidor ou aplicativo da web individual. Inundações HTTP são um ataque de camada 7 e não usam pacotes malformados ou falsificados. Os invasores usam esse tipo de ataque porque exigem menos largura de banda do que outros ataques para tirar a rede da vítima de operação.

Ataques Zero-Day – Ataques Zero-Day são ataques que exploram vulnerabilidades que ainda não foram descobertas. Este é um termo geral para ataques que podem ser enfrentados no futuro. Esses tipos de ataques podem ser particularmente devastadores porque a vítima não tem uma maneira específica de se preparar para eles antes de sofrer um ataque ao vivo.

Inundações de XML-RPC do WordPress – Nesse tipo de ataque, o invasor explora pingbacks do WordPress, entre outros, realizando comparativos antes de configurar o ataque. Inundações de HTTP aleatórias e inundações de desvio de cache são os ataques DDoS de camada 7 mais amplamente reconhecidos.

Um estudo recente mostrou que cerca de 75% dos tomadores de decisão de TI sofreram pelo menos um DDoS nos últimos 12 meses e 31% relataram interrupção do serviço como resultado desses ataques.

A cada dia mais e mais organizações comerciais e governamentais estão descobrindo da maneira mais difícil que o DDoS é uma ameaça que não pode ser ignorada.

E qual o segredo do “sucesso” do DDoS? Muitos ataques DDoS são bem-sucedidos não devido à habilidade ou recursos de quem faz o ataque, mas devido à falta de preparação do lado de quem precisa se defender.

Os gerentes de segurança, acostumados a lidar com ameaças como intrusões, explorações de aplicativos da web e worms, podem ainda não estar totalmente cientes de que lidar com DDoS requer uma gama de ferramentas de proteção web exclusiva e dedicada a isso.

Os ataques de negação de serviço distribuído (DDoS – Distributed denial of service) são uma subclasse de ataques de negação de serviço (DoS – denial of service). Um ataque DDoS envolve vários dispositivos online conectados, coletivamente conhecidos como botnets, que são usados para sobrecarregar um site de destino ou aplicação com tráfego falso.

Ao contrário de outros tipos de ataques cibernéticos, os ataques DDoS não tentam violar seu perímetro de segurança. Em vez disso, um ataque DDoS visa tornar o seu site e os servidores indisponíveis para usuários legítimos.

O DDoS também pode ser usado como cortina de fumaça para outras atividades maliciosas e para derrubar dispositivos de segurança, violando o perímetro de segurança do alvo.

Um ataque de negação de serviço bem-sucedido é um evento altamente perceptível que afeta toda uma base de usuários online. Isso o torna uma arma popular de escolha para hacktivistas, extorsionistas e qualquer outra pessoa que queira defender uma causa ou um ponto de vista.

Os ataques DDoS podem ocorrer em explosões curtas ou ataques repetidos, mas de qualquer forma o impacto em um site ou empresa pode durar dias, semanas e até meses, à medida que a organização tenta se recuperar. Isso pode tornar o DDoS extremamente destrutivo para qualquer organização online. Entre outras coisas, os ataques DDoS podem levar à perda de receita, corroer a confiança do consumidor, forçar as empresas a gastar fortunas em compensações e causar danos à reputação a longo prazo.

Se você administra um projeto online e ainda não sabe por onde começar para proteger sua aplicação, as perguntas básicas abaixo podem te ajudar a dar os primeiros passos.

Perguntas básicas importantes incluem:

● Quais ativos de infraestrutura precisam de proteção?

● Quais são os pontos fracos ou pontos únicos de falha?

● O que é necessário para derrubá-los?

● Como e quando você saberá que é o alvo? Será tarde demais?

● Quais são os impactos (financeiros e outros) de uma interrupção prolongada?

De posse dessas informações, é possível priorizar suas preocupações, examinando várias opções de mitigação de DDoS dentro da estrutura do seu orçamento de segurança.

Se você estiver executando um site comercial ou aplicativos online (por exemplo, aplicativos SaaS, banco online, comércio eletrônico), provavelmente desejará proteção 24 horas por dia, 7 dias por semana, sempre ativa. Um grande escritório de advocacia, por outro lado, pode estar mais interessado em proteger sua infraestrutura – incluindo servidores de e-mail, servidores FTP e plataformas de back office – do que o seu site. Este tipo de negócio pode optar por uma solução “on demand”.

O segundo passo é escolher o método de implantação. A maneira mais comum e eficaz de implementar proteção contra DDoS sob demanda para os seus principais serviços de infraestrutura em uma sub-rede inteira é por meio do protocolo de gateway de fronteira (BGP – border gateway protocol). No entanto, isso funcionará apenas sob demanda, exigindo que você ative manualmente a solução de segurança em caso de ataque.

Consequentemente, se você precisar da proteção contra DDoS sempre ativa no seu aplicativo da Web, use o redirecionamento de DNS para redirecionar todo o tráfego do site (HTTP/HTTPS) por meio da rede do provedor de proteção contra DDoS (geralmente integrada a uma rede de entrega de conteúdo, conhecidas como CDNs). A vantagem dessa solução é que a maioria das CDNs oferece escalabilidade e plantão NOC para absorver ataques volumétricos, ao mesmo tempo que minimiza a latência e acelera a entrega de conteúdo.

Se suas APIs estão mal documentadas, pode ter certeza de que alguém queira atacá-las fará uma documentação mais completa usando engenharia reversa. É disso que se trata a vulnerabilidade Improper Assets Management ou Gestão de Ativos Imprópria. Para se estar à frente dos ataques, é fundamental ter conhecimento de todo o ambiente para se avaliar com precisão quais APIs oferecem mais risco e priorizar ações sobre elas.

Com frequência, empresas se deparam com APIs que nunca foram documentadas, principalmente internas, APIs com documentação desatualizada e APIs que já foram descontinuadas, mas ainda não foram tiradas de produção. Isso pode oferecer grandes riscos. APIs descontinuadas deixam de receber patches de segurança, mesmo estando em produção. APIs sem documentação podem conter falhas de configuração como ausência de rate-limiting e monitoração. APIs com documentação desatualizada podem conter vulnerabilidades escondidas em parâmetros ocultos.

Quer conhecer as TOP 10 ameaças para APIs da OWASP? Baixe nosso Ebook Gratuito: API Security – Guia para Iniciantes

Configuração Incorreta de Segurança, ou Security Misconfiguration, representa uma série de erros como cabeçalhos HTTP mal configurados, cabeçalhos desnecessários, mensagens de erro verbosas, bancos de dados abertos à internet entre inúmeros outros exemplos. Atacantes exploram essa vulnerabilidade buscando conhecer mais profundamente a API em busca de informações que direcionam melhor seu ataque e brechas que sirvam de porta de entrada.

Esse problema pode ser particularmente delicado em operações grandes e complexas. Por mais que haja validações manuais e automáticas para identificá-lo em diferentes instâncias, esses processos abrangem apenas erros de configuração conhecidos e divulgados. A quantidade de partes móveis também aumenta a probabilidade de alguma área estar sujeita a erros. Por fim, as falhas de configuração podem estar escondidas nas interações entre essas partes móveis, ocultando o problema.

Quer conhecer as TOP 10 ameaças para APIs da OWASP? Baixe nosso Ebook Gratuito: API Security – Guia para Iniciantes