Checklist – API Security
API (Application Programming Interface) está emergindo como um dos vetores de ataque proeminentes. Enquanto o volume de chamadas de API aumentou 321% no ano passado, o tráfego malicioso de API cresceu 681%! Várias organizações enfrentaram incidentes de segurança relacionados à API nos últimos anos. Para ajudá-lo a obter uma segurança de API reforçada, reunimos uma checklist de segurança de API neste artigo.
Checklist dos 7 principais requisitos de segurança para APIs
As melhores práticas para obter proteção e segurança avançadas de API são muitas. Esta lista de verificação de segurança da API concentra-se nos 7 principais requisitos críticos.
Descoberta e inventário de API
Você só pode proteger as APIs se souber que elas existem, e a descoberta e o inventário contínuos ajudam nesse sentido.
• Automatize a descoberta de todos os endpoints, parâmetros e tipos de dados da API usando scanners inteligentes. As ferramentas automatizadas infundem velocidade, agilidade e precisão na descoberta.
• Analise os metadados de tráfego da API usando um mecanismo inteligente para descobrir APIs que anteriormente não estavam no radar dos profissionais de segurança.
• Descubra APIs no ambiente inferior (além apenas do ambiente de produção), dependências de API, APIs de terceiros, etc.
• Marcar, rotular e segmentar APIs, micros serviços, etc.
• Análise em tempo real do tráfego que atinge os endpoints da API. Isso permite que as organizações identifiquem cargas de trabalho, limitem os perímetros em torno de terminais de risco enquanto desprovisionam e removem funcionalidades antigas e APIs zumbis e minimizam os pontos cegos criados por APIs não autorizadas.
Protegendo APIs com detecção e proteção instantâneas contra ameaças
Outro requisito importante na lista de verificação de segurança da API é a proteção e detecção proativa de ameaças à API.
• Use análise comportamental, padrão e heurística para detectar ameaças proativamente, em vez de depender de detecção rudimentar baseada em assinatura
• Implemente segurança em várias camadas para enfrentar e proteger contra diferentes tipos de ameaças, incluindo ataques DDoS, ataques de bot., Os 10 principais riscos de segurança da API OWASP, etc.
• Aproveite a tecnologia avançada, como IA de autoaprendizagem, análise e automação para proteção avançada de API
• A visibilidade em tempo real da postura de segurança é importante
• Criptografe todos os dados para melhorar a segurança da API
• Implemente patches virtuais para manter as vulnerabilidades seguras até que os desenvolvedores as corrijam
Controle de acesso e autenticação de API
Para proteção e segurança mais fortes da API, as organizações devem realizar verificações de autenticação e autorização rigorosas e contínuas enquanto reforçam os controles de acesso. Isso é crítico, pois as falhas de autenticação e autorização estão em segundo lugar na lista de causas de ataques de API.
• Inclua identidades humanas e de máquina ao implementar controles de acesso e autenticação. Não se esqueça de aplicativos e serviços de terceiros.
• Implemente rigorosamente os princípios de confiança zero para garantir que os usuários (incluindo usuários privilegiados) tenham acesso just-in-time e just-enough aos recursos da API. Continue revisando os privilégios para fazer as alterações necessárias instantaneamente.
• Use protocolos de autorização modernos para segurança robusta.
• As APIs públicas não devem ser expostas a solicitações não validadas, mesmo que os usuários sejam autorizados.
• Implemente senhas fortes e complexas em combinação com autenticação multifator.
• Usuários não administradores devem receber apenas os privilégios somente leitura para dados.
• As sessões devem ter uma duração limitada.
• Os tokens devem expirar em intervalos regulares para evitar ataques de repetição.
Design e Desenvolvimento de API
Iniciativas de transformação digital levaram à aceleração no desenvolvimento e uso de APIs em todo o mundo. Devido à pressão dos desenvolvedores para garantir a velocidade de lançamento no mercado, eles geralmente não têm tempo para testes de segurança. Além disso, eles tendem a implantar APIs com vulnerabilidades conhecidas, pontos obscuros para funcionalidades futuras, deixar versões antigas implantadas para compatibilidade com versões anteriores, etc.
Portanto, a segurança da API não deve ser limitada à produção. Uma tática para uma API de segurança avançada é implementar controles e técnicas de segurança desde os estágios de design e desenvolvimento.
• Crie APIs seguras por design
• Use estruturas de desenvolvimento seguras, código, modelos, bibliotecas e assim por diante
• Restrinja a acessibilidade do código-fonte apenas para aqueles que precisam dele
• Revise o design e o código em busca de falhas, especialmente aquelas relacionadas à lógica de negócios
• Inclua verificações de configuração de segurança em sua lista de verificação de segurança de API para eliminar configurações incorretas
• Procure campos de formulário ocultos e documente a resposta da API
Teste de segurança da API
O teste de segurança contínuo é outro requisito importante da lista de verificação de segurança da API. A varredura automatizada tem seus limites e não pode identificar configurações incorretas de segurança, falhas de lógica de negócios ou a capacidade de exploração de diferentes vulnerabilidades. São necessários testes de segurança manuais regulares, por especialistas certificados, por meio de testes de penetração e auditorias.
Registro e monitoramento da API
As APIs de registro e monitoramento ajudam a construir uma linha de base para o que é considerado “normal”, para que os incidentes atípicos possam ser detectados rapidamente.
• Identifique e defina claramente todos os elementos, infraestrutura e aplicativos que precisam ser registrados
• Rastreie e registre parâmetros não relacionados à segurança, como desempenho, velocidade e tempo de atividade da API
• Revise as anomalias em intervalos regulares e ajuste suas APIs de acordo
Resposta à Incidência
Detectar e impedir violações é apenas uma parte da resposta de segurança. As violações de dados, às vezes, são inevitáveis. Nesses casos, ter um plano robusto de resposta à incidência é essencial, pois permite que as organizações se recuperem rapidamente e minimizem o impacto das violações. Deve-se definir claramente as políticas e medidas relacionadas à resposta imediata, investigação, forense, escalonamento, conformidade, etc.
Conclusão
Como os invasores continuam a expor e explorar os pontos fracos das APIs, a necessidade de segurança da API é urgente e crítica. Use esta checklist de segurança para API para começar a solidificar sua postura de segurança de API.
PT_BR 
EN