Nos últimos anos, não faltaram incidentes de segurança envolvendo APIs. Em 2023, por exemplo, a popular plataforma de aprendizado de idiomas Duolingo sofreu um ataque, com agentes maliciosos acessando uma API exposta.
Nesse caso, o vazamento comprometeu os endereços de e-mail de mais de 2,6 milhões de usuários, que foram vendidos em fóruns de hacking. A história da Duolingo é apenas uma entre muitas que destacam a necessidade urgente de empresas repensarem suas estratégias de segurança de APIs.
À medida que o uso de APIs cresce e os hackers encontram novas formas de explorar vulnerabilidades, é crucial ter uma postura de segurança robusta para proteger dados sensíveis e manter a confiança dos usuários.
Você tem controle sobre todas as APIs em sua infraestrutura?
Cada API representa uma possível porta de entrada para dados sensíveis.
Quando as empresas possuem APIs não documentadas ou não gerenciadas (shadow APIs) ou APIs desatualizadas que não foram devidamente descontinuadas (zombie APIs), elas se tornam muito mais vulneráveis a ataques, pois os pontos finais desprotegidos se tornam alvos fáceis.
Para colocar isso em perspectiva, mais de 30% das transações maliciosas visam APIs desconhecidas, não gerenciadas ou desprotegidas.
Você está adotando uma abordagem de segurança em várias camadas?
Sem firewalls de aplicações web, o tráfego malicioso pode passar pela superfície sem ser detectado e atingir diretamente as APIs.
Além disso, sem a implementação de limitação de requisições a nível global, as APIs ficam suscetíveis a ataques de negação de serviço (DoS), onde os sistemas são sobrecarregados com solicitações excessivas.
Isso reforça a necessidade de um nível de segurança abrangente e integrado, com foco na higiene em todos os níveis.
Você tem uma forma de monitorar e mitigar ameaças?
Desde listas seguras de IPs que limitam a superfície de ataque da API até limites de taxa e quotas que restringem o número de requisições de clientes em um determinado período, as organizações podem adotar várias medidas para reduzir ameaças.
Mas também é importante detectar atividades e padrões suspeitos prontamente. Em 2023, levou-se em média 204 dias para as empresas identificarem vazamentos de dados — e mais 73 dias para contê-los.
Você implementou segurança e validação de dados?
Ataques maliciosos são conhecidos por injetar códigos em parâmetros de API e strings de consulta. Se as empresas não tiverem uma rotina de validação dentro de seu gateway ou de escaneamento de payload, há uma chance maior de esse código passar despercebido e ser processado pelo sistema.
A gestão inadequada dos headers de API pode levar a vulnerabilidades adicionais, pois esses headers ajudam a garantir interações seguras entre navegadores e APIs.
Você estabeleceu práticas consistentes de segurança de APIs?
Processos manuais ao longo do ciclo de vida da API são mais propensos a erros e inconsistências, o que pode levar a lacunas na proteção das APIs.
Considere isso em conjunto com o fato de que 75% das organizações alteram ou atualizam suas APIs diariamente ou semanalmente.
Quanto mais as empresas puderem automatizar o ciclo de vida da gestão de APIs, mais poderão padronizar a segurança das APIs.
Autor
Colaborador: Aleksandr Nartovich
Arquiteto Principal de Pré-Vendas III da Axway
