Para lidar com ataques de API, empresas têm abordagens erradas, dizem pesquisadores

Nos últimos 12 meses, analistas de segurança têm observado um salto em ataques de API seguida de práticas inadequadas das empresas para resolver o problema.

Enquanto o tráfego malicioso cresceu 681% no último ano, os pesquisadores também notaram que o volume total de chamadas API apresentou praticamente a metade dessa porcentagem — 321%.

Imagem: Salt Security

Os dados apresentados no relatório da Salt Security, que contou com 250 funcionários de empresas de tamanhos variados, evidenciam uma tendência: à medida em que a indústria adota soluções API, ataques contra elas crescem de forma desproporcional.

Esses tipos de ataques consistem em abusar especificamente da API (Application Programming Interface ou Interface de Programação de Aplicativos) — uma interface de software que suporta serviços online que dependem de conexões para o intercâmbio de dados — com o objetivo de realizar violações de dados, injeções de SQL, DDoS, ataques man-in-the-middle, espalhar malware, ou conseguir permissões para autenticação de usuário não autorizado.

Imagem: Salt Security

Desta forma, é necessário proteger as conexões contra o acesso não autenticado; caso contrário, o conteúdo das interações entre usuários e programas podem ser capturadas por qualquer pessoa.

Com abordagem errada

Ao analisar os ataques de API, a maioria delas exploram falhas lógicas que se tornam evidentes só quando as aplicações implementam principalmente partes de um modelo de execução. Apesar disso, apenas ¼ das empresas reforçam a segurança nesse ponto final.

Além de uma abordagem incorreta, 34% das empresas carecem de estratégias voltadas à segurança de API, confiando somente no fornecedor da solução de API.

Imagem: Salt Security

Dados revelam que a implantação de gateways API ou WAFs, por exemplo, não é suficiente para detectar ou mesmo evitar ataques de XSS, SQL e JSON, já que estes são realizados depois que um ator da ameaça tenha completado o reconhecimento necessário e identificado as lacunas de segurança utilizáveis.

Recomendações de segurança

Apesar de haver sinais de mudança na forma como a indústria encara a segurança de API, a Salt Security avisa que ainda há um caminho a ser percorrido. Até lá, a empresa recomenda no relatório as seguintes medidas de segurança:

• Definir uma estratégia robusta de segurança API para todo o ciclo de vida das APIs;
• Validar os projetos atuais de API e os controles existentes, e avaliar o nível atual de risco;
• Permitir uma segurança API sem atrito em todos os ambientes de aplicação, inclusive no local, nuvem, containers, legado, etc;
• Usar dados da nuvem para identificar padrões de ações de reconhecimento maliciosas e ficar um passo à frente;
• Reduza sua confiança em táticas de revisão de código “shift-left” e invista mais em segurança em tempo de execução.

Via BleepingComputer