APIs – State of Mind

A economia da API
Interfaces de programação de aplicações (API) são funções e recursos que permitem que aplicativos interajam entre si. As APIs, geralmente descritas como interfaces máquina a máquina, incluem bibliotecas, estruturas, kits de ferramentas e kits de desenvolvimento de software.

As APIs estão impulsionando a Internet e nossa economia. Você usa uma API toda vez que entra em um aplicativo como o Instagram, envia uma mensagem ou verifica seu e-mail. As APIs permitem uma troca de dados tranquila.

Além disso, as APIs simplificam para os desenvolvedores adicionarem novas funcionalidades aos seus aplicativos. Em vez de construir um produto do zero, um desenvolvedor pode usar uma API e construir em cima do que outros, ou ele mesmo, já fizeram. Esse atalho economiza tempo e garante que funcionalidades importantes funcionem corretamente.

Além disso, com a disseminação da tecnologia em nuvem, mais e mais programas SaaS estão migrando para a nuvem. Esses serviços em nuvem usam APIs para se comunicarem. De mensagens de texto a comércio eletrônico e simplesmente verificar as notícias, as atividades diárias dependem do suporte da API.

Como resultado dessas conveniências, o uso da API está aumentando rapidamente. Com isso, pode haver dezenas, centenas ou até milhares de APIs conectando aplicativos internos entre si e com o mundo externo em uma única organização. Mas nem tudo são boas notícias.

Ameaças à API
À medida que o uso de APIs aumenta, o mesmo acontece com as ameaças que as visam. Um ataque de API ocorre quando uma API é usada ou testada de forma maliciosa. Os ataques baseados em API são três vezes mais comuns do que os ataques contra aplicativos HTML. As APIs incluem documentação sobre sua estrutura e métodos de implementação, tornando mais fácil para os hackers usarem essas informações para lançar ataques cibernéticos. Se uma API for quebrada, exposta ou não estiver adequadamente protegida, isso pode resultar na exposição de dados confidenciais ou pessoais. Falhas de segurança, ou mesmo equívocos, podem levar a esses ataques. Portanto, a segurança da API deve evoluir para permanecer atualizada nesse ambiente em constante mudança.

Equívocos
Muitas empresas e organizações não entendem completamente as APIs. Esses equívocos podem levar uma API a ficar desprotegida e vulnerável a ataques. Aqui estão três equívocos comuns:

Não preciso conhecer todas as minhas APIs
Algumas organizações pensam que não têm nenhuma API, algumas não estão cientes de todas as suas APIs e outras podem pensar que há pouco tráfego passando por elas. Muitas empresas hoje não mantêm um inventário completo de todas as APIs, o que cria uma vulnerabilidade significativa.

Conhecer todas as APIs usadas por seus aplicativos, incluindo APIs de sombra, facilita o conhecimento das alterações e dos riscos em evolução. Configurações incorretas, comportamento suspeito e ataques cibernéticos podem ocorrer quando as equipes de segurança não têm conhecimento das APIs e os protocolos de violação de dados confidenciais não podem proteger suficientemente os aplicativos de possíveis ataques.

WAF é suficiente
Muitas empresas ainda contam com ferramentas de segurança tradicionais, como gateways de API e firewall de aplicativo Web (Web Application Firewalls – WAFs) ou outros métodos de proteção convencionais. Mas, embora esses meios possam proteger suas APIs de ameaças conhecidas, eles não protegem você de outras ameaças.

As ferramentas tradicionais perdem completamente os ataques que visam a lógica das APIs à medida que as ameaças se tornam mais complicadas e sofisticadas. Como esses ataques lentos e de baixo volume ocorrem ao longo de horas ou dias, os WAFs não podem coletar e analisar as grandes quantidades de dados necessários para estabelecer o contexto e identificar essas atividades sutis do invasor.

Hackers não conseguem ver minha API
Outro equívoco comum é que as APIs estão escondidas nos bastidores e se beneficiam da segurança por meio da obscuridade. Em comparação com aplicativos da Web típicos, as APIs, por sua própria natureza, revelam muito mais funcionalidades e dados do aplicativo do que você imagina. Como resultado, os invasores podem explorar facilmente as APIs usando as mesmas ferramentas dos desenvolvedores, usando métodos sutis para mapear a API, entender a lógica e buscar vulnerabilidades.

Além disso, algumas empresas podem não estar cientes de APIs públicas ou não documentadas em seus sistemas e aplicativos, potencialmente permitindo a entrada de hackers.

Resumindo
À medida que o uso de APIs cresce, cresce também a motivação dos hackers para explorar as lacunas de segurança. O Gartner prevê que, até 2022, os abusos de API passarão de um vetor de ataque pouco frequente para o mais frequente. Não ter um status da API pode fazer com que empresas e negócios sejam expostos ou atacados.

A segurança da API requer o seu próprio conjunto de táticas e soluções para compreender e mitigar vulnerabilidades e preocupações de segurança específicas. A única maneira de proteger as APIs é protegê-las de forma holística e abrangente durante todo o ciclo de vida do software. Você precisa descobrir todas as suas APIs, aprender sua lógica de negócios, fazer a linha de base e rastrear o tráfego, identificar falhas de segurança ou ameaças em potencial e considerar possíveis remediações – durante todo o ciclo de vida de cada API.