Barracuda full logo

A descoberta de API é fundamental para garantir a segurança das suas aplicações.

Tópicos:
8 fev. 2024
|
Rohit Aradhya

Tendências de API

A interface de programação de aplicações (API) tem vindo a ganhar ritmo nos últimos anos, o que se torna visível no tráfego global de API recebido pelos servidores de aplicações. Com base no relatório State of API 2023 by Postman, foram criadas 121 milhões de coleções para o ecossistema de API, e houve 1,29 mil milhões de novos pedidos GET nos 12 meses até maio de 2023. À medida que o mundo avança para o desenvolvimento centrado em API, também começa a perceber muitos novos desafios para proteger os servidores web e fornecer a segurança adequada para as APIs.

Desafios de Segurança de API

Durante o desenvolvimento de aplicações, os programadores adicionam/atualizam/eliminam APIs com muita regularidade. Devido a isto, os administradores acham muito difícil manter regras de segurança apropriadas para corresponder a esses conjuntos de APIs em evolução. A maioria das APIs são criadas para fins de integração privada e com parceiros, onde a segurança não é uma prioridade de desenvolvimento. Isto aumenta ainda mais o risco de a segurança das APIs ser descurada.

Outro facto notável é que 97% dos proprietários de aplicações estão cientes da necessidade de melhorias na segurança de API, mas não conseguem alcançá-las devido à falta de visibilidade nos endpoints e estruturas de API.

Tentámos resumir os principais problemas enfrentados pelos proprietários de aplicações web na implementação e segurança das suas APIs.

  • Aumento sem precedentes no tráfego de API

 

Tráfego de API por país - Postman 2023 Relatório sobre o estado da API 2023
  • Falta de sensibilização e documentação dos endpoints de API públicos e privados.
    • À medida que as empresas avançam para o desenvolvimento API-first, novos endpoints de API continuam a ser criados e os antigos tornam-se obsoletos sem muito conhecimento por parte do administrador. Com pouca ou nenhuma informação sobre estes, os administradores têm dificuldade em configurar/reconfigurar servidores web para melhores práticas de segurança, deixando muitas lacunas de segurança no sistema.
  • Utilização de APIs internas
    • A pesquisa da Barracuda revelou que mais de 25% das APIs são projetadas para serem APIs internas apenas. Estas APIs internas são frequentemente desenvolvidas com significativamente menos foco na segurança. Em muitos casos, as APIs são consideradas "ocultas" (pelas equipas de desenvolvimento) por trás das aplicações web, e os proprietários das aplicações não estão cientes quando estas APIs internas são expostas ao mundo exterior. Isso resulta em grandes falhas de segurança e numa superfície de ataque crescente – particularmente se as aplicações forem acessíveis através da internet ou não tiverem controlos de acesso para impedir o movimento lateral por parte de um ator de ameaça.
  • Identificar APIs Sombra ou Zombie
    • Existem várias APIs que são criadas no sistema para fins de teste e, sem o saber, são deixadas para trás sem qualquer segurança. Seguir as trilhas de tráfego para essas APIs torna-se quase impossível devido ao tráfego limitado que chega a essas APIs de teste. Além disso, é muito comum que os desenvolvedores de aplicações e administradores percam pequenas alterações, levando a que as regras de segurança nem sempre estejam atualizadas. A pesquisa da Barracuda descobriu que cerca de 37% admitiram não compreender os padrões de API. Se os atacantes conseguirem identificar esses endpoints, como fizeram com a Optus, poderão explorar a API; podem causar sérios danos ao servidor de aplicações e provocar uma violação dos dados do utilizador.
  • Identificar todos os endpoints e estruturas de API disponíveis
    • Sem análise de tráfego em tempo real, é muito fácil não detectar os endpoints de API expostos pelo servidor, bem como a estrutura dos parâmetros individuais esperados pela API. Sem o conhecimento completo destes, nunca podemos estar confiantes sobre as necessidades de segurança de cada endpoint e parâmetro, o que eventualmente leva a uma configuração de segurança insuficiente.
  • APIs / Parâmetros mais atacados
    • Existem algumas APIs, como as APIs de login, que são atacadas mais do que outras. Da mesma forma, os campos de nome de utilizador/palavra-passe são normalmente mais propensos a ataques de injeção do que outros parâmetros. Mas sem informação exata sobre todos os campos, número de consultas, formatos de valores, etc., torna-se um grande desafio para os administradores implementar APIs de forma segura contra possíveis explorações.

As ameaças colocadas pelo aumento de APIs estão a aumentar a carga de trabalho para as equipas de TI. Juntamente com este crescimento de APIs, as empresas estão a enfrentar ciberataques cada vez mais sofisticados em outros vetores de ameaça, e uma escassez na força de trabalho de cibersegurança. Isto torna difícil e dispendioso para as empresas terem equipas internas de TI totalmente equipadas e manter a empresa totalmente segura.

Descoberta de API Barracuda WAF  

A API Discovery da Barracuda, potenciada por Machine Learning, analisa todo o tráfego que chega à sua aplicação, filtra o tráfego de API e utiliza esta informação para identificar os endpoints de tráfego da API.  Uma vez identificados estes endpoints, aprende então a estrutura das chaves/valores esperados por cada API. Neste ponto, a Proteção de Aplicação da Barracuda configurará automaticamente as definições de segurança para garantir que as suas APIs estão protegidas contra as mais recentes ameaças originárias do mercado. Os proprietários e administradores de APIs podem então pré-visualizar e ajustar estas configurações conforme desejado.

A Proteção de Aplicações Barracuda aproveita ainda mais o machine learning (ML) para aprender continuamente e proteger o seu ambiente de aplicações. O Motor de Configuração Automática é um serviço de Barracuda Active Threat Intelligence que analisa todo o tráfego da sua aplicação a partir das unidades conectadas e fornece recomendações de configuração específicas para a aplicação. Isto ajuda a fechar lacunas de segurança relacionadas com aplicações web e API, ao mesmo tempo que reduz a sobrecarga de TI atribuída à proteção de aplicações.

Pode encontrar mais informações sobre Barracuda Application Protection no nosso site. Também pode obter uma versão de teste gratuita de 30 dias para testar a solução no seu próprio ambiente.

 

 

Rohit Aradhya

Rohit Aradhya é VP de Engenharia e Diretor Geral da Barracuda. Atualmente lidera os produtos Web Application Firewall, Web Security Gateway e Email Security Gateway. Ele tem mais de 20 anos de experiência em cibersegurança, abrangendo domínios de segurança de aplicações, segurança de rede e segurança na nuvem. Rohit é apaixonado por proteger empresas das ameaças cibernéticas em evolução e escreve sobre digitalização, inteligência de ameaças, tecnologia de cibersegurança e temas de liderança.

Pode conectar-se com o Rohit no LinkedIn aqui.


Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.