As APIs certamente mudaram a maneira como as empresas operam. As APIs permitem que as empresas avancem tecnologicamente com maior facilidade. Isso permite uma inovação mais rápida, que é, obviamente, o que os clientes exigem.
As APIs também introduziram vários desafios diferentes para as equipes de segurança. Com APIs vêm riscos adicionais. Esses riscos introduzem novas ameaças à empresa e o potencial para sérios danos.
A maioria dos profissionais de segurança entende a necessidade de proteger APIs e deseja fazê-lo. Infelizmente, é mais fácil falar do que fazer, por vários motivos. Diante disso, quais são algumas etapas que os profissionais de segurança podem seguir para proteger melhor suas APIs?
Embora existam muitas etapas que podem ser seguidas, neste artigo, apresento minhas ideias sobre 10 etapas para ajudar a proteger as APIs:
- Visibilidade e descoberta da API: Pode parecer óbvio, mas antes que uma API possa ser protegida, ela deve ser conhecida. Por vários motivos diferentes, os endpoints de API geralmente são criados sem o conhecimento da equipe de TI ou segurança. Quando isso acontece, essas APIs não fazem parte do gerenciamento de ativos e também não estão devidamente sujeitas a políticas e controles de segurança e conformidade. Assim, a visibilidade e a descoberta da API são o primeiro passo na segurança da API.
- Validação do Esquema: Usar entradas inválidas ou impróprias para violar ou abusar de APIs é uma técnica popular dos invasores. Garantir o comportamento adequado da API com base em entradas e saídas válidas é uma parte importante de uma abordagem geral de segurança da API. Exigir que todas as solicitações e respostas da API estejam em conformidade com o esquema e todas as especificações é uma etapa importante na proteção dessas APIs contra ataques e violações.
- Aplicação da política: Políticas de segurança inteligentes e adequadamente definidas são ótimas, mas sem uma aplicação estrita, elas são ineficazes. A aplicação de políticas de segurança de API é outra etapa importante na proteção de APIs.
- Proteção de dados confidenciais: O vazamento de dados confidenciais, como informações de identificação pessoal (PII), é um risco significativo resultante de APIs mal protegidas. A proteção de dados confidenciais envolve não apenas garantir que as APIs sejam codificadas e protegidas adequadamente, mas também verificar se os dados confidenciais não estão sendo transmitidos ou vazados inadvertida ou indevidamente da API e é outra etapa importante na proteção de APIs.
- Proteção contra abuso e DoS: Ao pensar em se defender contra ataques de negação de serviço (DoS), é importante lembrar a camada de aplicativo (camada 7 do modelo OSI), e não apenas as camadas 3 e 4. Os invasores estão sintonizados na camada 7 e sempre procurando atacar, tornando a proteção da camada 7 contra abuso e DoS uma etapa importante na proteção de APIs.
- Proteção de ataque: A proteção contra formas comprovadas e novas de comprometer e explorar APIs é fundamental. Dê o passo importante de alavancar técnicas baseadas em assinatura, baseadas em anomalias e baseadas em IA/ML para se proteger contra uma ampla variedade de ataques.
- Controle de acesso: O controle de acesso inadequado, incluindo autenticação e autorização, continua sendo um dos principais problemas que afetam as APIs. Seja devido a descuidos, erros humanos, pressa ou qualquer outro motivo, o controle inadequado do acesso às APIs pode ter consequências devastadoras. Os serviços de descoberta de autenticação (permitindo que lacunas de autenticação sejam descobertas), imposição de autenticação e controle de acesso à API são etapas importantes na proteção de APIs.
- Detecção de usuário malicioso: Uma aplicação útil de AI/ML é estudar, analisar e tirar conclusões sobre o comportamento de clientes que interagem com APIs. Detectar e mitigar os usuários que parecem ser mal-intencionados pode ajudar a proteger as APIs contra ataques, comprometimentos e violações como uma etapa de uma abordagem geral de segurança da API.
- Configuração e Gestão: A configuração e o gerenciamento inadequados de APIs são responsáveis por muito mais violações do que deveriam. Garantir que as APIs não sejam configuradas e/ou gerenciadas incorretamente é outra etapa importante ao proteger as APIs.
- Análise Comportamental: A análise comportamental dos vários logs coletados de endpoints e APIs de um aplicativo é outra boa aplicação de AI/ML e outra etapa importante quando se trata de APIs de segurança. É um processo iterativo que continua ao longo do tempo e é continuamente atualizado, aprimorado e aperfeiçoado.
Embora as APIs possam acelerar a inovação, elas também podem introduzir novas ameaças na empresa. Proteger APIs é uma jornada nobre, embora complexa. Os profissionais de segurança podem aproveitar uma variedade de abordagens, incluindo as 10 etapas acima para ajudar a proteger suas APIs.