A segurança das APIs (interfaces de programação de aplicações) muitas vezes não recebe o devido cuidado, seja nos estágios iniciais de planejamento ou por não conseguir acompanhar o ritmo da rápida implementação tecnológica.
O resultado disso é que elas se tornaram um alvo para cibercriminosos.
De acordo com um relatório da Akamai, as APIs foram alvo de 29% dos ataques web em 2023, com os hackers explorando a economia de APIs em rápido crescimento para novas formas de ataque.
O setor do comércio foi o mais atacado, representando cerca de 44%.
Os serviços corporativos vieram em seguida com quase 32%.
Os ataques variaram de inclusão de arquivos locais (LFI) e injeção SQL (SQLi) a scripting entre sites (XSS).
As descobertas da Akamai destacam as crescentes preocupações na indústria sobre as ameaças à segurança de APIs.
Em 2021, a Gartner previu que a exploração de APIs e as violações de dados duplicariam até 2024.
No ano passado, o Open Web Application Security Project (OWASP) lançou uma lista de riscos específicos de API, destacando a preocupação crescente.
“As APIs são cada vez mais críticas para as organizações, mas sua segurança muitas vezes é negligenciada nos estágios iniciais de planejamento ou a equipe de segurança não consegue acompanhar a rápida implantação de novas tecnologias”, disse Steve Winterfeld, CISO consultor da Akamai, no relatório Estado da Internet (SOTI).
A Akamai apontou dois problemas distintos a esse respeito — problemas de postura e tempo de execução.
Falhas na implementação da API podem levar a problemas de postura.
Os mais comuns entre eles incluem pontos de acesso sombrio (dispositivos que são usados sem o conhecimento do administrador do sistema), acesso a recursos não autenticados, dados confidenciais na URL, política de compartilhamento de recursos entre origens (CORS) muito permissiva e erros excessivos de usuário.
Os problemas de tempo de execução, por outro lado, são ameaças que exigem ação imediata.
Isso inclui tentativas de acesso a recursos não autenticados, atividade de API com payloads JSON incomuns, tentativas de broadcast de parâmetros de caminho, timestamps de API ilógicos, geolocalização ou sequenciamento e exfiltração de dados.
De acordo com a Akamai, a adoção de um programa completo de segurança de API oferece às organizações uma visibilidade sem igual em todo o seu ecossistema digital.
Isso inclui a descoberta de todas as APIs da organização, auditoria dos seus níveis de risco, detecção de comportamentos anormais indicativos de abuso e a possibilidade de investigações lideradas por especialistas para procurar ameaças ocultas.
A abordagem de camadas, segundo a empresa, é crucial para identificar vulnerabilidades e proteger contra potenciais violações, assegurando uma defesa robusta contra a evolução das ameaças cibernéticas.
“Isso inclui colocar todas as APIs sob controle de segurança e ter respostas automatizadas para mitigar ataques ou alertar a equipe de operações de segurança”, diz o relatório.
“Em seguida, praticar testes shift-left durante o desenvolvimento pode resolver essas vulnerabilidades e fraquezas mais cedo, antes que os invasores possam se aproveitar delas.
Por fim, é necessário fazer exercícios para validar tanto as medidas preventivas como a resposta a crises.”
A Akamai também recomenda a adesão a regulamentações específicas para melhorar a segurança da API.
Embora as leis que governam as APIs possam ser limitadas, é útil considerar algumas estruturas.
Isso inclui o Regulamento Geral de Proteção de Dados (GDPR), o recém-atualizado Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), versão 4.0, e as diretrizes estabelecidas pelo Instituto Nacional de Padrões Americanos (ANSI).
O relatório também aponta algumas tendências globais interessantes.
A região da Europa, Oriente Médio e África (EMEA) sofreu o maior número de ataques, com 47,5%.
A América do Norte ficou em segundo lugar, com 27,1%, e a região Ásia-Pacífico e Japão ficou em terceiro, com 15%.
Em termos de países, a Espanha liderou, com 94,8%, seguida de Portugal com 84,5%, Países Baixos com 71,9% e Israel com 67,1%.
Em comparação, apenas 27,6% dos ataques na web nos EUA visaram APIs.
“Existem várias razões para as diferenças nos ataques regionais, como ambientes regulatórios, conflitos geopolíticos, tipos de infraestruturas, variações de acesso e educação, modelos de negócios e fatores sociais”, afirma o relatório.
“No entanto, também é importante notar que é possível observar uma tendência de ataque cibernético começar em uma região ou setor e depois migrar para outros.”
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...