Nos últimos 12 meses, analistas de segurança têm observado um salto em ataques de API seguida de práticas inadequadas das empresas para resolver o problema.

Enquanto o tráfego malicioso cresceu 681% no último ano, os pesquisadores também notaram que o volume total de chamadas API apresentou praticamente a metade dessa porcentagem — 321%.

Para lidar com ataques de API, empresas têm abordagens erradas, dizem pesquisadores

Imagem: Salt Security

Os dados apresentados no relatório da Salt Security, que contou com 250 funcionários de empresas de tamanhos variados, evidenciam uma tendência: à medida em que a indústria adota soluções API, ataques contra elas crescem de forma desproporcional.

Esses tipos de ataques consistem em abusar especificamente da API (Application Programming Interface ou Interface de Programação de Aplicativos) — uma interface de software que suporta serviços online que dependem de conexões para o intercâmbio de dados — com o objetivo de realizar violações de dados, injeções de SQL, DDoS, ataques man-in-the-middle, espalhar malware, ou conseguir permissões para autenticação de usuário não autorizado.

Para lidar com ataques de API, empresas têm abordagens erradas, dizem pesquisadores

Imagem: Salt Security

Desta forma, é necessário proteger as conexões contra o acesso não autenticado; caso contrário, o conteúdo das interações entre usuários e programas podem ser capturadas por qualquer pessoa.

Com abordagem errada

Ao analisar os ataques de API, a maioria delas exploram falhas lógicas que se tornam evidentes só quando as aplicações implementam principalmente partes de um modelo de execução. Apesar disso, apenas ¼ das empresas reforçam a segurança nesse ponto final.

Além de uma abordagem incorreta, 34% das empresas carecem de estratégias voltadas à segurança de API, confiando somente no fornecedor da solução de API.

Para lidar com ataques de API, empresas têm abordagens erradas, dizem pesquisadores

Imagem: Salt Security

Dados revelam que a implantação de gateways API ou WAFs, por exemplo, não é suficiente para detectar ou mesmo evitar ataques de XSS, SQL e JSON, já que estes são realizados depois que um ator da ameaça tenha completado o reconhecimento necessário e identificado as lacunas de segurança utilizáveis.

Recomendações de segurança

Apesar de haver sinais de mudança na forma como a indústria encara a segurança de API, a Salt Security avisa que ainda há um caminho a ser percorrido. Até lá, a empresa recomenda no relatório as seguintes medidas de segurança:

  • Definir uma estratégia robusta de segurança API para todo o ciclo de vida das APIs;
  • Validar os projetos atuais de API e os controles existentes, e avaliar o nível atual de risco;
  • Permitir uma segurança API sem atrito em todos os ambientes de aplicação, inclusive no local, nuvem, containers, legado, etc;
  • Usar dados da nuvem para identificar padrões de ações de reconhecimento maliciosas e ficar um passo à frente;
  • Reduza sua confiança em táticas de revisão de código “shift-left” e invista mais em segurança em tempo de execução.

 

Via BleepingComputer

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários