As interfaces de programação de aplicações (APIs) são, indiscutivelmente, a força vital dos serviços modernos conectados à internet, mas também estão se tornando cada vez mais difíceis para as organizações protegê-las. A observação foi feita por Daniele Molteni, gerente de produto de firewall da Cloudflare, durante apresentação no evento online da empresa Web Summit 2020. Em sua apresentação, o executivo discutiu as ameaças de segurança mais comuns para o tráfego de APIs e esboçou estratégias para identificar vulnerabilidades e defender a infraestrutura crítica.
“No ano passado, o crescimento do tráfego de APIs foi três vezes mais rápido do que o tráfego da web”, explicou ele. “Há uma tendência clara de mais tráfego de APIs e a necessidade de ser mais específico na proteção delas, investindo em tecnologia de segurança de API.”
Veja isso
Teste revela falhas críticas de segurança em apps de mobile banking
Novo ransomware Egregor opera com ataques de dupla extorsão
Segundo Molteni, esses riscos e ameaças à segurança também estão afetando as organizações, porque existem dois principais pontos problemáticos de segurança da API que afetam os negócios no momento. O primeiro é o “efeito das vulnerabilidades da API nas operações diárias”, que pode resultar na redução da velocidade de desenvolvimento de software e atritos que dificultam a adoção e o desenvolvimento da API.
O segundo, de acordo com ele, se deve ao fato de que as soluções comuns de segurança da web geralmente não são adequadas para proteger o tráfego da API, com altas taxas de falsos positivos, falta de recursos de alto valor específicos da API e falta de visibilidade do tráfego da API.
Quando se trata de abordar e mitigar os riscos e ameaças à segurança da API, Molteni disse que existem dois princípios fundamentais para a implementação de uma estratégia de segurança. “O primeiro é gerenciar o acesso; o acesso é uma das maiores coisas que você precisa controlar”, explicou ele. Isso deve se concentrar em controlar quem faz as solicitações e limitar o uso de recursos caros (backend, processamento, serviço, etc.). “O segundo [princípio] é escalabilidade e eficiência ao verificar vulnerabilidades, que envolve ter uma estratégia para estreitar e validar cargas úteis complexas quando necessário”, explicou ele.
Ao implementar esses dois princípios, as empresas devem ser capazes de adotar uma abordagem incremental em várias camadas “semelhante a um funil” para remover o ruído do tráfego da API. “E, ao remover o ruído, você também remove o que é ativamente malicioso”, disse Molteni. No entanto, ele concluiu com o conselho de que “não existe uma solução única para todos e que o sistema de segurança que você escolhe implementar depende de sua infraestrutura, tipo de dados e objetivos de negócios”.
