Ao reconhecer as oportunidades das APIs, não podemos deixar de falar sobre os riscos de segurança associados. Afinal, as APIs são um dos principais vetores de ataque cibernético.
Em uma pesquisa recente, 41% das empresas relataram ter enfrentado um incidente de segurança com APIs. Destas, 63% lidaram com uma violação ou perda de dados.
Imagine o que significa uma violação de dados para um banco ou operador de saúde. Com tanto em jogo, é fundamental agir para prevenir os riscos de segurança em APIs. E isso começa com a compreensão dos maiores perigos que as APIs enfrentam.
A lista dos 10 principais riscos de segurança em APIs
As vulnerabilidades de APIs estão em constante evolução. O Open Web Application Security Project (OWASP) lança uma lista atualizada dos 10 principais riscos de segurança em APIs a cada ano ou dois. Aqui está a versão mais recente dessa lista:
1. Autorização de nível de objeto quebrada:
Práticas de codificação inseguras podem permitir que usuários acessem dados de outros usuários.
2. Autenticação quebrada:
Implementação inadequada de senhas pode comprometer tokens de autenticação.
3. Autorização de nível de propriedade de objeto quebrada:
Permissões incorretas permitem acesso indesejado a propriedades.
4. Consumo de recursos irrestrito:
Um atacante pode sobrecarregar uma API e degradar o serviço.
5. Autorização de nível de função quebrada:
Funções de administrador e de usuário mal definidas aumentam as vulnerabilidades.
6. Acesso irrestrito ao fluxo de dados sensíveis:
Usuários podem realizar operações sensíveis e acessar dados.
7. Falsificação de requisições do lado do servidor:
Ataques podem manipular aplicativos sem validação de URI fornecida pelo usuário.
8. Configuração de segurança inadequada:
Configurações inadequadas da API abrem portas para riscos.
9. Gerenciamento inadequado de inventário:
A falta de controle sobre as APIs aumenta os riscos de segurança.
10. Consumo inseguro de APIs:
Confiar em dados de APIs externas pode levar a ataques e vazamentos.
Medidas que você pode adotar para manter suas APIs seguras
Não existe uma maneira infalível de manter as APIs seguras, mas há várias ações que podem reduzir as chances de exposição.
A conversa começa com o design e o desenvolvimento das APIs. Ao adotar uma abordagem “API-first”, a segurança deixa de ser um pensamento posterior e se torna uma parte integral do processo de design e planejamento. Essa prática ajuda a estabelecer configurações seguras e a resolver problemas desde o início.
Adotar uma estrutura de segurança de confiança zero também é recomendado. Essa abordagem opera sob o princípio “nunca confiar, sempre verificar”. Ela sugere o uso de autenticação multifatorial e controles de acesso com o mínimo privilégio.
Além disso, é importante monitorar as atividades das APIs para detectar e responder rapidamente a potenciais ameaças de segurança.
O relatório 2024 da Axway sobre Maturidade de API Empresarial revela que muitas empresas ainda enfrentam dificuldades em obter visibilidade suficiente sobre todas as suas APIs.
Para garantir a governança das APIs, mantenha um inventário atualizado de todas elas. Assim, você pode assegurar que todas as suas APIs tenham pontos de acesso seguros e os controles de acesso adequados.
Na pesquisa mencionada, houve consenso sobre esse ponto: 95% dos tomadores de decisão de TI e da linha de negócios concordam que um catálogo centralizado de APIs melhoraria a governança delas.
Com esse catálogo, você pode identificar APIs não utilizadas ou obsoletas e descomissioná-las, reduzindo o número de pontos de acesso vulneráveis.
E quando você abre APIs para consumo externo?
Como muitas organizações, você provavelmente tem interesse na monetização de APIs. Mas, quando abre essa porta, como garantir que suas APIs se mantenham seguras?
O Amplify Enterprise Marketplace é construído sobre uma plataforma verdadeira de gerenciamento de APIs federadas. Com essa plataforma, você pode:
– Descobrir APIs não gerenciadas dentro de sua organização
– Curar e selecionar quais APIs disponibilizar em seu marketplace
– Acessar políticas de segurança pré-construídas, que podem ser personalizadas conforme necessário
O Amplify Enterprise Marketplace oferece os alicerces e a governança necessários para manter as APIs seguras. Sem comprometer a experiência do consumidor, você pode criar uma infraestrutura segura. É uma base confiável que dá suporte à monetização das APIs.
Autora
Lydia Defranchi
Editora-chefe do blog Axway
