A segurança das APIs (interfaces de programação de aplicações) muitas vezes não recebe atenção adequada, seja nos estágios iniciais de planejamento ou por não conseguir acompanhar o ritmo da rápida implantação tecnológica. A consequência disso é que elas se tornaram um alvo dos cibercriminosos. De acordo com um relatório da Akamai, as APIs foram objeto de 29% dos ataques na web em 2023, com os hackers explorando a economia de APIs em rápido crescimento para novas vias de ataque.
O setor do comércio foi o que sofreu o maior número de ataques, representando cerca de 44%. Os serviços empresariais vieram em seguida com quase 32%. Os ataques variaram de inclusão de arquivos locais (LFI) e injeção de SQL (SQLi) a scripting entre sites (XSS).
As descobertas da Akamai ressaltam as crescentes preocupações na indústria em torno das ameaças à segurança de APIs. Em 2021, o Gartner previu que a exploração de API e as violações de dados duplicariam até 2024. No ano passado, o Open Web Application Security Project (OWASP) divulgou uma lista de riscos específicos de API, destacando a preocupação crescente.
“As APIs são cada vez mais críticas para as organizações, mas sua segurança muitas vezes é negligenciada nas fases iniciais de planeamento ou a equipe de segurança não é capaz de acompanhar a rápida implantação de novas tecnologias”, disse Steve Winterfeld, CISO consultivo da Akamai, no relatório State of the Internet (SOTI).
A Akamai apontou dois problemas distintos a esse respeito — problemas de postura e tempo de execução. Falhas na implementação de API podem levar a problemas de postura. Os mais comuns entre eles incluem shadow endpoints (dispositivos que são utilizados sem o conhecimento do administrador do sistema), acesso a recursos não autenticados, dados confidenciais em uma URL, política permissiva de compartilhamento de recursos entre origens (CORS) e erros excessivos do usuário.
Os problemas de tempo de execução, por outro lado, são ameaças que exigem ação imediata. Isso inclui tentativas de acesso a recursos não autenticados, atividade de API com cargas úteis JSON incomuns, tentativas de difusão de parâmetros de path, carimbos de data/hora de API ilógicos, geolocalização ou sequência e extração de dados.
Segundo a Akamai, a adoção de um programa abrangente de segurança de API proporciona às organizações uma visibilidade incomparável em todo o seu ecossistema digital. Isso inclui descobrir todas as APIs da organização, auditar seus níveis de risco, detectar comportamentos anormais indicativos de abuso e permitir investigações lideradas por especialistas para procurar ameaças ocultas.
A abordagem em camadas, de acordo com a empresam, é crucial para identificar vulnerabilidades e proteger contra potenciais violações, garantindo uma defesa robusta face à evolução das ameaças cibernéticas. “Isso inclui colocar todas as APIs sob controles de segurança e ter respostas automatizadas para mitigar ataques ou alertar a equipe de operações de segurança”, afirma o relatório. “Em seguida, praticar testes shift-left durante o desenvolvimento pode resolver essas vulnerabilidades e fraquezas no início, antes que os invasores possam explorá-las. Finalmente, é necessário realizar exercícios para validar tanto as medidas preventivas como a resposta a crises.”
Veja isso
Cresce a escalada de ataques a APIs neste início de ano
Segurança é maior entrave para monetização de APIs, diz estudo
A Akamai também recomenda a adesão a regulamentações selecionadas para melhorar a segurança da API. Embora as leis específicas que regem as APIs possam ser limitadas, vale a pena considerar certas estruturas. Isso inclui o Regulamento Geral de Proteção de Dados (GDPR), o recém-atualizado Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), versão 4.0, e as diretrizes estabelecidas pelo American National Standards Institute (ANSI).
O relatório também indica algumas tendências globais interessantes. A região da Europa, Médio Oriente e África (EMEA) sofreu o maior número de ataques, com 47,5%. A América do Norte ficou em segundo lugar, com 27,1%, e a região Ásia-Pacífico e Japão ficou em terceiro, com 15%. Em termos de países, a Espanha liderou, com 94,8%, Portugal com 84,5%, Países Baixos com 71,9% e Israel com 67,1%. Na comparação, apenas 27,6% dos ataques na web nos EUA tiveram como alvo APIs.
“Há uma série de razões para diferenças nos ataques regionais, tais como ambientes regulatórios, conflitos geopolíticos, tipos de infraestruturas, variações de acesso e educação, modelos de negócio e fatores sociais”, afirma o relatório. “No entanto, também é importante observar que é possível observar uma tendência de ataque cibernético começar em uma região ou setor e depois migrar para outros.”
O relatório completo (em inglês) está disponível no blog da Akamai e pode ser acessado clicando aqui.