salt-security api threats

Estudo aponta os desafios para administrar e proteger APIs

Da Redação
13/02/2023

O Brasil é o quarto maior país usuário de APIs como linguagem de troca de dados entre aplicações empresariais. No ano passado, aconteceram 1.444.375 chamadas de APIs, o que coloca o país atrás somente dos EUA, Índia e China. Estima-se que, até 2030, o mundo contará com 100 bilhões de APIs e com 45 milhões de desenvolvedores. Em média, cada organização consome 15 mil APIs. 

“As APIs são críticas para o crescimento da economia digital brasileira em 2023”, ressalta Beethovem Dias, engenheiro de soluções da F5 Brasil. “Ainda assim, muito há o que ser feito para que as organizações controlem e protejam esse universo”. O Pix e o open banking são exemplos de ecossistemas que usam APIs para “chamar” dados de aplicações de terceiros e, deste modo, acelerar operações financeiras.  

Estudo da F5 elenca seis sinais que apontam problemas com APIs e investiga as principais frentes de batalha enfrentadas por organizações que dependem de chamadas das interfaces de programação de aplicações para realizar negócios. 

Segundo o documento, há grandes desafios para se ganhar controle sobre as APIs, que são listados a seguir.

 Shadow APIs – As empresas que não contam com um inventário das APIs homologadas para uso dos desenvolvedores abrem espaço para o consumo sem controle de “Shadow APIs”. “Anos atrás ouvíamos falar de shadow IT, em que usuários finais consomem recursos digitais sem passar pelo controle da TI. A shadow API leva esse conceito ao mundo dos desenvolvedores de aplicações”, explica Dias. A adoção das shadow APIs — linguagens prontas disponíveis no mercado, mas sem credenciais de controle e de segurança —, facilita o trabalho do desenvolvedor, profissionais muito pressionados para cumprir as metas de entrega da aplicação. Uma forma de superar esse desafio é contar com soluções automatizadas que atualizam o inventário de APIs e bloqueiam o uso de shadow APIs. “Essa abordagem tem de acompanhar toda a esteira de desenvolvimento”, recomenda Dias. 

 APIs “órfãs” – Se os gestores não souberem quem é o responsável pela API, não é possível identificar quem procurar no caso de problemas com esta linguagem. “É uma terra de ninguém – é comum que as APIs sejam consumidas sem a preocupação em checar sua origem, sua idoneidade, etc.”, avisa Dias. Soluções que automatizam o controle sobre as APIs constroem um inventário em que a “propriedade” sobre a API é estabelecida claramente. “Ainda há casos em que o desenvolvedor tenta contornar esse controle e realizar de forma manual a construção ou a chamada de uma API. Isso colabora com o caos nas organizações.” 

Controles de segurança impostos ao final da esteira atrasam projetos – Boa parte das APIs é alvo de tentativas de ataques — somente em 2020, 91% das empresas norte-americanas sofreram violações de APIs. Ainda assim, muitas organizações realizam os testes de segurança da API somente ao final do processo de desenvolvimento. Volta-se a etapa zero porque os responsáveis pela API não seguiram as melhores práticas de proteção destas linguagens ao longo da esteira de desenvolvimento.  Além da mudança de cultura, é recomendável utilizar Advanced WAFs para defender as APIs dos ataques listados no OWASP API Top 10.

Não saber onde roda a API – A boa administração deste universo exige que se possua um mapa (infográfico) com a localização da API. “Há casos em que o desenvolvedor, para cumprir prazos, realiza a chamada de uma API da nuvem AWS para a nuvem Azure – com isso, uma API desenvolvida originalmente para rodar em um ambiente passa a rodar, de forma precária, em outra nuvem”. A grande disseminação do modelo multinuvem no Brasil torna esse quadro ainda mais dramático. O gestor pode perder a visibilidade sobre esses ambientes. Outro problema surgido desta falha é que se torna mais difícil configurar políticas de segurança e testar o grau de proteção das APIs. Uma API rodando em lugares diferentes irá exigir proteções diferentes. “Soluções que constroem uma camada de administração única para todas as nuvens permitem que se cheque esses pontos de forma centralizada, o que otimiza o tempo e a produtividade dos gestores.” 

Veja isso
Falhas de desenvolvimento trazem risco elevado em APIs
Por que os ataques de API são diferentes e como pará-los

A documentação da API está desatualizada – É comum que profissionais de ICT Security fujam dos processos de documentação. Infelizmente, uma documentação sobre APIs desatualizada é um dos maiores sintomas de um ambiente sem controle. O ritmo de desenvolvimento e consumo de APIs é tal que o processo de documentação fica esquecido, dando margem a várias falhas futuras. Uma forma de contornar esse quadro é contar com soluções alinhadas ao padrão OpenAPI Specification, que gera automaticamente as novas versões de documentação de APIs. 

Múltiplas APIs servem para a mesma tarefa – Uma das formas mais conhecidas de se cobrar pelo consumo de uma API é por meio de métricas que acusam quantas chamadas aconteceram. Seja para não pagar este custo, seja porque prefere desenvolver de forma manual sua própria API para resolver uma demanda, muitos desenvolvedores constroem novas APIs que se sobrepõem a APIs já existentes. Essa realidade pode multiplicar o caos.

“O que é preocupante é que, cada vez mais, é por meio de APIs que se chega ao ‘pote de ouro’, as aplicações que fazem a economia brasileira girar”, analisa Dias. “A correta administração das APIs é uma jornada sem fim, que exige mudanças na cultura das empresas e a adoção de novos controles automatizados, soluções capazes de dar conta destes desafios em escala”, enfatiza ele.

Compartilhar: