Quer entender melhor a importância de API Security na Segurança de Aplicações?
Para entender como a Segurança da API afeta a exposição da sua Aplicação a riscos, é importante conhecer a forma como a API está conectada à internet e a outros recursos no desenvolvimento.
Afinal, sabemos que embora tragam riscos, as APIs são pontos fundamentais para melhorar suas aplicações.
E para evitar as vulnerabilidades no desenvolvimento ou mesmo no software em produção, a abordagem de Segurança deve acontecer de forma mais abrangente.
Isso quer dizer que ela deve ir além de testes de segurança e exposição a web.
Continue lendo para acompanhar como a o acesso vindo da Internet expõe diretamente as regras de negócio e como abordar API Security na Segurança de Aplicações de forma mais madura.
API Security na Segurança de Aplicações: mas por que tanta visibilidade?
Em sua constante busca por alimentar a comunidade de segurança de aplicações com bons materiais e conteúdos, a OWASP lançou em 12 de setembro sua primeira versão (RC1) do OWASP API Security Top 10.
O olhar da OWASP para as APIs é justificável quando percebemos que na grande maioria das soluções de software, em seus mais diversos usos, as APIs estão cada vez mais presentes.
Mas nem sempre a preocupação com a segurança delas tem acompanhado este crescimento.
Com o objetivo de buscar entender como estas ferramentas estão sendo desenvolvidas e como mantê-las seguras, abordamos este assunto no artigo de Segurança de APIs.
Portanto, neste novo artigo vamos fazer uma análise do novo documento da OWASP com a finalidade de melhorar o grau de segurança das aplicações que usam este tipo de solução.
Segundo relatório da Akamai, incríveis 83% do tráfego que passa por seus servidores são de API, contra apenas 17% de tráfego de html.
É evidente que hoje o maior consumidor de dados na Internet não são mais os seus usuários humanos de forma direta, mas sim sistemas que buscam informações em várias fontes (bots).
Agora imagine como isso pode aumentar quando a tecnologia 5G estiver em plena operação. E imagine ainda a quantidade de IoT conectados e usando recursos de APIs!
Proteção contra riscos e API Security
Por isso, precisamos entender este movimento e melhorar o modo como protegemos esses recursos.
Uma frase que demonstra grande dependência de APIs hoje, sem autor identificado é:
“If I were to advise a hostile nation-state on how to incapacitate the United States, I’d tell them to go after the APIs first.”
Que podemos traduzir como:
“Se eu fosse aconselhar um Estado-nação hostil sobre como incapacitar os Estados Unidos, eu diria a eles para irem primeiro às APIs.”
Esta frase demonstra a incrível importância do tema e como ele pode afetar vários serviços disponíveis hoje.
Temos visto nos últimos tempos vários problemas com API e isso não é uma realidade de empresas com poucos recursos.
Isso porque existem também grandes empresas enfrentando esse tipo de dificuldade, como Google, Samsung, Verizon, Apple e outros.
Mas vamos seguir em nosso artigo e avaliar melhor este novo projeto da OWASP.
Quais os pontos do OWASP API Security Top 10?
O OWASP API Security Top 10, lançado recentemente, traz vulnerabilidades já conhecidas para grande maioria dos desenvolvedores que tem uma legítima preocupação com segurança.
Vulnerabilidades como “Quebra de autenticação e autorização”, “Falha em identificar limites de tráfego e de ataques” e mesmo “Excesso de Exposição de dados”, podem ser usadas para explorar aplicações.
Portanto, estas vulnerabilidades são algumas das que estão presentes na lista criada pela OWASP e podem servir como ponto de partida para a melhoria da segurança das aplicações.
Falamos em ponto de partida pois, como a lista das vulnerabilidades da web, estas não podem se entendidas como uma lista finita.
O que se busca com esse relatório é criar um caminho inicial para auxiliar na estruturação de melhorias no processo de desenvolvimento.
Diferente do relatório de OWASP TOP 10, claramente mais preocupado com aplicações online e sistemas web, este novo relatório tem um foco claro e definido em APIs.
API Security e a Exposição das Regras de Negócio
A grande preocupação com este tipo de solução, APIs, é que atualmente a grande maioria é criada diretamente com acesso vindo da Internet.
E isso expõe diretamente as regras de negócio.
A exposição destas regras pode ser um problema muito maior do que aparenta.
Vulnerabilidades antigas
Uma rápida leitura na lista de vulnerabilidades trazidas pelo projeto, ainda classificado como “incubado”, nos faz perceber que seu embasamento se dá em eventos recentes.
Mas claro que nem só de vulnerabilidades usadas é formada a lista: outras que não foram usadas em ataques também estão presentes. No entanto, as vulnerabilidades já exploradas na prática são as que mais se destacam.
O interessante é que muito do que temos acompanhado na lista já é de conhecimento da maioria dos profissionais, e não deveria ser surpresa.
API Security e a Privacidade do Usuário
Normalmente, quando se fala em falha em API o primeiro ponto a ser levantado é o relacionado à privacidade.
E isso vai ficar ainda mais evidente com a chegada da legislação que tem forte apelo a esse tema.
No entanto, não é difícil perceber que falhas estruturais da API podem permitir, inclusive, o controle total sobre um recurso.
Isso ficou claro quando a CISCO resolveu uma série de vulnerabilidades que poderiam permitir o controle de um equipamento de rede e de big-data.
Essas vulnerablidades permitiam o envio de requisições mal formadas para APIs de gerenciadores web desses equipamentos.
Não é difícil percebermos a importância de APIs em simples conversas com desenvolvedores ou mesmo gestores de grandes empresas.
Para eles, as APIs são pontos fundamentais para melhorar suas aplicações.
É evidente que a proliferação de conceitos modernos de arquitetura como desenvolvimento mobile, IoT, microsserviços e sistemas armazenados em cloud, são fortemente baseados em API.
Por isso, eles devem receber uma maior atenção em seu desenvolvimento.
API Security na Segurança de Aplicações: entendendo os riscos
Às vezes nos pegamos pensando que esse problema não pode ser assim tão grande, certo?
Mas a realidade não é bem assim. Em uma pesquisa realizada com 100 profissionais de TI e Segurança de grandes empresas, constatou-se que 60% delas têm, em média, 400 APIs. Isso, de forma simplista, quer dizer que são no mínimo 400 pontos de possíveis vulnerabilidades.
Isso é assustador!
Outro dado ainda mais preocupante é que nem a metade dessas empresas têm mecanismos de validar ou mesmo identificar quando há o envio de requisições maliciosas para estas APIs.
Ou seja, não existe a cultura da importância de API Security na Segurança de Aplicações.
Fica claro, então, com todos esses dados, que teremos alguns setores sendo mais visualizados que outros, pelo grande número de APIs usadas.
Para reforçar esse pensamento, 40% dos profissionais e gestores de TI e Segurança acreditam que o setor mais afetado será o de instituições financeiras.
Um dos maiores problemas encontrados é que temos visto cada vez mais negócios sendo estruturados por meio de APIs.
Isso reforça a preocupação com a segurança das APIs, já que a grande quantidade de conexões e trocas de informações por meio de API traz um aumento de exposição a riscos.
No entanto, a preocupação com a segurança destes recursos está cada vez menos presente.
Ou, no mínimo, essa preocupação não acompanha o mesmo ritmo de crescimento.
API Security e o Vazamento de Dados
Mesmo que exista preocupação com a segurança da API, em alguns casos as falhas estão em pequenos detalhes. E um bom exemplo disso é o grande número de vazamentos de tokens e credenciais.
Estes vazamentos acontecem, muitas vezes, em processos que não tem uma relação direta com a API, mas sim com outros processos de suporte — como por exemplo os de backup.
Embora possam parecer um problema do passado, vazamentos de tokens e de credenciais estão acontecendo com mais frequência.
Uma empresa que hoje é subsidiária da Microsoft alegou que em apenas um ano conseguiu ter acesso a mais de um bilhão — isso mesmo, com “B” — de tokens de autenticação.
Por isso entendemos que é preciso dar a devida importância de API Security na Segurança de Aplicações.
A Importância de API Security na Segurança de Aplicações
Fica claro que a necessidade de se criar um inventário e documentação sobre estas APIs é um ponto importante e que merece a devida atenção.
É evidente que precisamos ajustar nossos processos de desenvolvimento para que eles possam refletir as mudanças, acompanhando a velocidade com que a segurança das aplicações necessita: buscar melhorar dentro desta visão só trará benefícios.
