Para lidar com ataques de API, empresas têm abordagens erradas, dizem pesquisadores
Além disso, 34% delas carecem de estratégias voltadas à segurança de API, confiando somente no fornecedor da solução da APIBy - Liliane Nakagawa, 8 março 2022 às 7:30
Nos últimos 12 meses, analistas de segurança têm observado um salto em ataques de API seguida de práticas inadequadas das empresas para resolver o problema.
Enquanto o tráfego malicioso cresceu 681% no último ano, os pesquisadores também notaram que o volume total de chamadas API apresentou praticamente a metade dessa porcentagem — 321%.
Os dados apresentados no relatório da Salt Security, que contou com 250 funcionários de empresas de tamanhos variados, evidenciam uma tendência: à medida em que a indústria adota soluções API, ataques contra elas crescem de forma desproporcional.
Esses tipos de ataques consistem em abusar especificamente da API (Application Programming Interface ou Interface de Programação de Aplicativos) — uma interface de software que suporta serviços online que dependem de conexões para o intercâmbio de dados — com o objetivo de realizar violações de dados, injeções de SQL, DDoS, ataques man-in-the-middle, espalhar malware, ou conseguir permissões para autenticação de usuário não autorizado.
Desta forma, é necessário proteger as conexões contra o acesso não autenticado; caso contrário, o conteúdo das interações entre usuários e programas podem ser capturadas por qualquer pessoa.
Com abordagem errada
Ao analisar os ataques de API, a maioria delas exploram falhas lógicas que se tornam evidentes só quando as aplicações implementam principalmente partes de um modelo de execução. Apesar disso, apenas ¼ das empresas reforçam a segurança nesse ponto final.
Além de uma abordagem incorreta, 34% das empresas carecem de estratégias voltadas à segurança de API, confiando somente no fornecedor da solução de API.
Dados revelam que a implantação de gateways API ou WAFs, por exemplo, não é suficiente para detectar ou mesmo evitar ataques de XSS, SQL e JSON, já que estes são realizados depois que um ator da ameaça tenha completado o reconhecimento necessário e identificado as lacunas de segurança utilizáveis.
Recomendações de segurança
Apesar de haver sinais de mudança na forma como a indústria encara a segurança de API, a Salt Security avisa que ainda há um caminho a ser percorrido. Até lá, a empresa recomenda no relatório as seguintes medidas de segurança:
- Definir uma estratégia robusta de segurança API para todo o ciclo de vida das APIs;
- Validar os projetos atuais de API e os controles existentes, e avaliar o nível atual de risco;
- Permitir uma segurança API sem atrito em todos os ambientes de aplicação, inclusive no local, nuvem, containers, legado, etc;
- Usar dados da nuvem para identificar padrões de ações de reconhecimento maliciosas e ficar um passo à frente;
- Reduza sua confiança em táticas de revisão de código “shift-left” e invista mais em segurança em tempo de execução.
Via BleepingComputer
Comentários