APIs: impulsionando a transformação digital, mas vulneráveis a ataques

Imagine a internet como uma cidade movimentada. APIs (interfaces de programação de aplicativos) são as rodovias que conectam tudo, permitindo que aplicativos e bancos de dados troquem dados perfeitamente. Esta conectividade alimenta a transformação digital, como evidenciado por uma estatística surpreendente: 71% de todo o tráfego da Internet em 2023 consistiu em chamadas de API . O site corporativo médio testemunhou impressionantes 1,5 bilhão de chamadas de API no mesmo ano.

Esses números destacam uma preocupação crítica de segurança cibernética. O grande volume de dados que flui através de APIs cria uma vasta superfície de ataque para agentes mal-intencionados. Apesar das práticas recomendadas de segurança, como "shift-left" e ciclos de vida de desenvolvimento seguros (SDLC), muitas APIs são colocadas em produção antes da catalogação, autenticação ou auditoria adequada. Isso cria uma tempestade perfeita: as organizações estão implantando uma média de 613 endpoints de API , um número que está crescendo rapidamente devido à pressão para fornecer serviços digitais rapidamente. Com o tempo, essas APIs inadequadamente protegidas transformam-se em alvos vulneráveis para os cibercriminosos.

As consequências de negligenciar a segurança da API são graves. O relatório da Imperva alerta que as APIs se tornaram um ponto de entrada para invasores que buscam acesso a dados confidenciais. Um estudo realizado pelo Marsh McLennan Cyber Risk Analytics Center sublinha este ponto, estimando que os incidentes de segurança relacionados com API infligem espantosos 75 mil milhões de dólares às empresas em todo o mundo todos os anos.

Mais tráfego de API, mais problemas para serviços financeiros

A revolução digital é alimentada por APIs, e em nenhum lugar isso é mais evidente do que nos bancos e no varejo online. Estas indústrias, com os seus vastos ecossistemas de API, registaram o maior volume de chamadas de API em 2023. Infelizmente, esta forte dependência de APIs torna-as alvos principais dos cibercriminosos. Os serviços financeiros, que abrangem o setor bancário, tornaram-se, sem surpresa, as principais vítimas de ataques de API em 2023.

Controle de contas por meio de APIs: uma ameaça alimentada por bots

Os hackers têm um arsenal diversificado para atacar APIs, mas uma tática comum é o Account Takeover (ATO). Isso envolve a exploração de processos de autenticação fracos em uma API para roubar credenciais de login. Em 2023, impressionantes 45,8% de todos os ataques ATO tiveram como alvo endpoints de API. Esses ataques são frequentemente automatizados por meio de bots maliciosos – software programado para executar tarefas com intenções criminosas. Ataques ATO bem-sucedidos podem bloquear usuários legítimos, expor dados confidenciais, levar a perdas financeiras e potencialmente violar regulamentações de conformidade. Considerando a natureza sensível dos dados financeiros, a ATO representa um risco comercial significativo.

O desafio de proteger APIs em um mundo acelerado

Gerenciar a segurança da API de maneira eficaz é um desafio complexo, mesmo para equipes de segurança experientes. O ritmo acelerado do desenvolvimento de software cria uma lacuna – a falta de ferramentas e processos maduros para promover a colaboração entre desenvolvedores e profissionais de segurança. Isso resulta em uma estatística preocupante: quase 10% das APIs permanecem vulneráveis devido a fatores como desativação inadequada (descontinuação), monitoramento inadequado ou controles de autenticação fracos.

O relatório da Imperva destaca três tipos principais de APIs mal gerenciadas que criam dores de cabeça de segurança para as organizações: APIs shadow, APIs obsoletas e APIs não autenticadas.

1. Shadow APIs: a ameaça invisível

Imagine APIs escondidas nos cantos escuros dos sistemas da sua organização – não documentadas, esquecidas e invisíveis para as equipes de segurança. Estas são APIs sombra, e a Imperva estima que elas representem cerca de 4,7% das APIs ativas. Muitas vezes surgem por motivos legítimos, como testes ou integrações de terceiros, mas a falta de gestão adequada cria riscos significativos. Essas APIs ocultas podem ter acesso a dados confidenciais, mas ninguém sabe onde estão ou a que estão conectadas. Uma única API sombra pode levar a violações de conformidade, multas pesadas ou, pior, um cibercriminoso explorando-a para roubar dados valiosos.

2. APIs obsoletas: bombas-relógio esperando para explodir

À medida que o software evolui, as APIs podem ficar desatualizadas e eventualmente obsoletas. Esta é uma parte normal do ciclo de vida do software, mas surgem problemas quando essas relíquias não são removidas adequadamente. A Imperva estima que as APIs obsoletas representam, em média, 2,6% das APIs ativas. Idealmente, quando uma API é obsoleta, os serviços que a utilizam são atualizados e as solicitações para o endpoint antigo falham. No entanto, se essas atualizações forem negligenciadas, a API obsoleta se tornará uma bomba-relógio – vulnerável porque não possui patches e atualizações de segurança críticas.

3. APIs não autenticadas: deixando a porta aberta

Configurações incorretas, implantações apressadas ou tentativas de acomodar softwares mais antigos podem, às vezes, levar a APIs não autenticadas. Essas APIs, que representam em média 3,4% das APIs ativas, representam um risco significativo porque não possuem qualquer forma de controle de acesso. Isso significa que qualquer pessoa, incluindo atores mal-intencionados, pode acessar dados ou funcionalidades confidenciais. APIs não autenticadas são essencialmente uma porta aberta para violações de dados e manipulação de sistemas.

Combatendo a ameaça

Para combater esses riscos, as organizações precisam ser proativas. Auditorias regulares podem revelar APIs não monitoradas ou não autenticadas. O monitoramento contínuo ajuda a detectar tentativas de explorar vulnerabilidades nessas APIs. Por fim, os desenvolvedores devem adquirir o hábito de atualizar e atualizar APIs para garantir que as versões obsoletas sejam substituídas por alternativas seguras. Ao tomar estas medidas, as organizações podem mitigar os riscos de segurança representados por APIs mal geridas.

Segurança de API: protegendo seus ativos digitais

No mundo interconectado de hoje, as APIs são a espinha dorsal da comunicação digital. Mas com grande poder vem uma grande responsabilidade – proteger suas APIs é crucial para proteger dados e funcionalidades confidenciais. Veja como a Imperva recomenda fortalecer sua postura de segurança de API:

1. Conheça suas APIs: crie um inventário abrangente

O primeiro passo é a descoberta e classificação abrangentes. A Imperva recomenda um inventário meticuloso de todas as APIs, endpoints, parâmetros e cargas úteis. A descoberta contínua garante que seu inventário permaneça atualizado , ao mesmo tempo que identifica qualquer exposição de dados confidenciais.

2. Priorize a segurança para APIs de alto risco

Nem todas as APIs são criadas iguais. Identifique e priorize a proteção daqueles que lidam com dados confidenciais ou particularmente vulneráveis a ataques como acesso não autorizado ou exposição excessiva de dados. Realize avaliações de risco visando especificamente esses endpoints de alto risco.

3. Vigilância é fundamental: monitorar atividades suspeitas

O monitoramento proativo é essencial. Implemente um sistema robusto que detecte e analise ativamente comportamentos suspeitos e padrões de acesso em seus endpoints de API. Isso permite identificar e lidar com ameaças potenciais antes que elas aumentem.

4. Uma defesa em camadas: combinação de ferramentas de segurança para proteção máxima

Uma abordagem de segurança em várias camadas é crítica. A Imperva recomenda a integração de várias ferramentas, como Web Application Firewalls (WAFs), soluções dedicadas de proteção de API, prevenção de negação de serviço distribuída (DDoS) e proteção de bots. Este pacote abrangente oferece flexibilidade e proteção avançada contra ameaças em evolução, incluindo ataques sofisticados de lógica de negócios que visam funcionalidades API específicas.

Seguindo essas recomendações, você pode melhorar significativamente sua postura de segurança de API e garantir o sucesso contínuo de suas iniciativas digitais.

Referências: 

https://www.imperva.com/learn/application-security/business-logic/

https://www.imperva.com/resources/resource-library/reports/quantifying-the-cost-of-api-insecurity/?utm_medium=PR&utm_source=Organic-Referral

https://www.imperva.com/resources/resource-library/reports/the-state-of-api-security-in-2024/