A partir do que ocorreu em 2021 em termos de aumento de ocorrências relacionadas à Segurança de APIs temos todas as razões para apostar que 2022 não será diferente. Foram registrados diversos problemas originários de APIs vazadas, configurações erradas, controles de acesso fracos ou quebrados, vulnerabilidades latentes e má prática de codificação. O resultado final foi uma longa lista de exposições de Dados, perda de Dados, impactos de privacidade, escaladas de privilégios, execuções remotas de códigos, aquisições de contas, cadeias de suprimentos digitais enfraquecidas e muito mais.
Muitos eventos de Segurança de API incluem casos de autorização de nível de objeto quebrada, Bola, autenticação de usuário quebrada, BUA, e exposição excessiva de Dados. Essas falhas mais comuns da API são a “ponta do iceberg”. Os atacantes encontram e abusam de APIs de muitas outras maneiras. As organizações também enfrentam riscos de ameaças automatizadas, com os criminosos criando complexas cadeias de ataque na tentativa de escapar de detecções e proteções, ampliando assim suas chances de sucesso.
A Salt Security, empresa que há cinco anos atua no mercado de Segurança de API, apresenta sete previsões para esse segmento em 2022. De acordo com a empresa, testemunharemos outro ataque em larga escala na cadeia de suprimentos digitais. Dois exemplos significativos desses tipos de eventos da cadeia de suprimentos em 2020 e 2021 incluíram o ataque do SolarWinds, visando o produto Orion, e o ataque do Microsoft Exchange Server. Em ambos os casos, as APIs eram um componente significativo da cadeia de ataque ou do vetor de ataque inicial. Os atacantes têm como alvo APIs de infraestrutura, como as contidas nas ofertas do Exchange e SolarWinds, mas também outros elementos de infraestrutura, como o Kubernetes. Cadeias complexas de ataque não são fáceis de identificar. Um diagnóstico proativo e em tempo real requer a capacidade de analisar comportamentos de identidades de usuários e máquinas durante toda uma sessão para detectar atividades fora do padrão e potencialmente maliciosas.
O segundo ponto é que as organizações continuarão a sofrer com autenticação e autorização
Autenticação e autorização são componentes fundamentais do Gerenciamento de Identidade e Acesso, IAM. A companhia cita três problemas: O Gerenciamento de Identidade e Acesso por si só não é suficiente para abordar todos os aspectos da segurança da API, e muitos ataques ocorrem em sessões autenticadas sobre conexões confiáveis; implementar um IAM eficaz em serviços internos e terceirizados em ambientes de computação não é uma tarefa simples e que verificar a identidade do usuário já é algo problemático, pense então na autenticação da máquina, que não pode ser desafiada da mesma forma que fazemos com um usuário.
Outra grande marca exporá dados e sofrerá danos significativos à reputação. APIs com vazamento resultantes de controles de acesso fracos e exposição excessiva de dados continuarão a persistir nas verticais. As organizações impactadas historicamente não reconhecem as APIs vulneráveis e a exposição de dados. O público geralmente ouve defesas como “o ataque não resultou em uma violação de dados” ou “as APIs funcionaram conforme o esperado”. O resultado é o mesmo: impacto na imagem e reputação das empresas.
A erosão da privacidade não é apenas um incômodo para funcionários, clientes e cidadãos, tal evento também deixa as organizações sujeitas a penalidades e multas sob regulamentos como a LGPD. LinkedIn, Experian, Peloton e outros sofreram incidentes envolvendo APIs vazadas. A privacidade requer uma mentalidade diferente da segurança de dados ou da segurança do aplicativo.
Entre as previsões para esse segmento em 2022, a Salt Security aponta também que as equipes de Governança e Conformidade ganharam maior importância na segurança da API. Sendo assim, equipes internas de GRC Governança, Risco e Compliance, GRC, bem como auditores externos, estão tendo um interesse mais profundo na linguagem das APIs, pois isso acaba por impactar todos os elementos de um programa de Segurança da Informação.
Para mitigar ataques que podem resultar em exposição de dados, inferência de dados ou erosão de privacidade, os controles tradicionais de segurança pouco fazem para satisfazer a conformidade. A proteção para dados em repouso é frequentemente alcançada com técnicas de criptografia, mascaramento, “tokenização” ou “pseudonimização”. A proteção para Dados em movimento é frequentemente alcançada com proteção de transporte como o TLS. No entanto, proteger os dados em uso, ou mal utilizados e abusados, é um desafio de segurança muito maior. Os auditores começarão a fazer mais perguntas sobre a segurança da API e também exigir mais das equipes de segurança e não segurança.
As APIs ganharão maior visibilidade
O quinto item apontado, dá conta que as Operações de Segurança, SecOps, são o núcleo da maioria dos programas de Cibersegurança. Segurança de infraestrutura, avaliação de vulnerabilidades e gerenciamento de vulnerabilidades são frequentemente focos predominantes e elas devem priorizar quais problemas de segurança são mais críticos ou podem impactar os negócios e acompanhar a correção até a fase final.
Os analistas do Centro de Operações de Segurança, SOC, devem analisar grandes quantidades de Dados de registro de todas as redes, sistemas e aplicativos para detectar continuamente um amplo espectro de potenciais impactos de segurança para uma organização. É uma tarefa monumental, já que potenciais incidentes de segurança incluem phishing, ransomware, malware, vulnerabilidades, configurações erradas e fraquezas de design em todas as camadas de pilhas de tecnologia e originárias de uma variedade de atores de ameaças que podem ser externos ou internos.
A penúltima tendência apontada é que as organizações começarão a priorizar a segurança da API. Nesse sentido, a aceleração do processo de entrega, um grande componente e foco da maioria dos esforços do DevSecOps, é algo muito limitado para cobrir todos os aspectos da Segurança da API. Falhas de API podem resultar de má implementação, má configuração, má codificação ou de uso indevido inesperado. Embora seja possível identificar alguns subconjuntos de problemas de API em estágios de design, desenvolvimento e construção, as falhas da lógica empresarial não se manifestarão até que as aplicações e APIs sejam entregues. É fundamental restaurar o equilíbrio entre segurança e tempo de execução.
Por último, a Salt Security aponta como tendência o forte crescimento da automação de Segurança.
Raramente uma organização conhece todas as APIs que está construindo, integrando ou consumindo. Montar e atualizar continuamente o inventário de API é apenas um elemento crítico de uma estratégia de segurança de API. Outra importante peça do quebra-cabeça consiste em saber todas as maneiras que um invasor pode potencialmente atingir, explorar ou abusar dessas APIs, para implementar proteções ou mitigações apropriadas de tempo de execução.
O controle manual de segurança através de revisão manual retarda as versões de aplicação e API. Retardar ou impedir uma liberação por razões de segurança pode impactar nos negócios, além de criar a percepção de que a segurança não está facilitando o trabalho da organização. Como muitos Cisos atestarão, lutar pelo orçamento de segurança ou pelo número de funcionários já é desafiador. As abordagens manuais de segurança também inibem a capacidade da empresa de detectar e responder rapidamente a incidentes de API. A assistência à máquina é o único modo de as organizações se anteciparem à curva de segurança da API e à inundação de alterações de código, integrações de parceiros, código de terceiros e Dados em movimento.
“Estas sete tendências evidenciam o elevado grau de periculosidade do atual cenário global de TI, em que os maus atores se conscientizaram da importância de elegerem as APIs como um dos focos principais de suas atividades criminosas”, resume Daniela Costa, diretora da Salt Security para a América Latina.
Para a executiva, as previsões “sublinham a necessidade de as organizações e desenvolvedores reforçarem a segurança das APIs com soluções de ponta, desde os estágios iniciais de planejamento até a fase final de consumo pelo mercado, como única forma de enfrentar de forma eficaz as múltiplas ameaças impostas pelo cibercrime.”
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo