Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarPor que os ataques a APIs estão aumentando e como evitá-los
O uso crescente de APIs oferece aos invasores mais maneiras de quebrar os controles de autenticação, exfiltrar dados ou realizar atos perturbadores.
A empresa australiana de energia Jemena usa APIs, de alguma forma, há cerca de uma década. O uso de APIs – interfaces de programação de aplicativos – aumentou recentemente e espera-se que aumente cinco vezes nos próximos anos. “Estamos no início de nossa jornada”, diz Daniel Gordon, líder de arquitetura de segurança cibernética da empresa. “Agora tudo é API primeiro, e talvez uma reflexão tardia.”
Jemena está usando APIs para compartilhar informações com parceiros de negócios e em aplicativos voltados para o cliente, diz Gordon. “Mesmo os operadores de mercado e reguladores estão migrando para APIs. Houve uma clara aceleração no ano passado – a API-ificação de tudo.”
Gordon vê isso como uma criação de novas preocupações de segurança para a empresa. O problema das APIs é que elas são projetadas para fornecer acesso eficiente aos dados. Se um invasor conseguir comprometer uma API, ele poderá exfiltrar grandes quantidades de dados em um tempo muito curto.
As abordagens tradicionais de segurança de aplicações web, que se concentram na prevenção do acesso de bots, não se aplicam à segurança de APIs, uma vez que, por definição, todas as solicitações de API são feitas de máquina para máquina. “Não temos tanto problema com bots, mas sim um potencial problema de vazamento de dados. É com isso que estamos mais preocupados: acesso irrestrito aos dados", diz Gordon. "Sendo uma empresa de energia, mantemos muitas informações pessoais."
A Jemena é uma empresa com 3.200 funcionários que fornece eletricidade a mais de 350.000 residências e empresas e fornece gás a mais de 1,5 milhão de clientes. Além das informações usuais de identificação pessoal, há também dados medicamente sensíveis, como quais clientes possuem equipamentos de suporte à vida ou outros requisitos especiais. Alguns tipos de dados estão sujeitos a restrições regulamentares e não podem ser enviados para o exterior ou só podem ser partilhados com determinadas partes conhecidas. “Fica complicado muito rápido”, diz Gordon.
Os aplicativos web da empresa são protegidos por um firewall de aplicativos web (WAF), mas há limites para o que um WAF pode fazer. “O perfil de uma API é diferente daquele contra o qual um WAF tradicionalmente protege”, diz Gordon. “Você espera um grande volume de solicitações, e um WAF não protege contra ataques à lógica de negócios.” Em vez disso, o que Jemena precisava era de uma ferramenta de segurança que analisasse as especificidades de cada solicitação de API e o comportamento da máquina que a enviou, e pudesse diferenciar um bot bom de um bot ruim. “Existem muitas empresas mais antigas de bloqueio de bots, mas não muitas soluções nativas de segurança de API”, diz Gordon. As coisas podem estar mudando. “Sentimos que o mercado vai evoluir muito no próximo ano.”
No final do ano passado, Jemena começou a buscar uma solução que se integrasse aos sistemas de segurança que a empresa já possuía e optou pelo Salt Security. O sistema adota uma abordagem comportamental para a segurança da API. “Você precisa entender o formato dos seus dados e se as solicitações estão chegando no formato esperado”, diz Gordon.
A nova ferramenta foi capaz de aprender os padrões de tráfego da API da empresa, descobrir como é uma solicitação padrão e, em seguida, procurar desvios desse padrão. Ele fica atrás do firewall do aplicativo da web, mas também se conecta ao sistema de gerenciamento de eventos e informações de segurança da empresa, que é o Splunk. “Não queríamos ter outro painel de vidro para olhar”, diz ele. Salt tem seus próprios painéis, acrescenta. “Mas não passamos muito tempo no Salt – passamos tempo no Splunk olhando o que é gerado.”
Uma desvantagem potencial da abordagem de detecção de anomalias para a segurança da API é que os aplicativos da Web mudam com frequência, assim como o tráfego da API correspondente. Jemena não tem os sistemas instalados há tempo suficiente para saber se isso será um problema, diz Gordon. “Vamos monitorar as coisas de perto à medida que aumentamos nossos volumes de API.”
Jemena não é a única empresa preocupada com a segurança da API – e por boas razões. As APIs expandem enormemente o número de maneiras pelas quais os invasores podem obter dados e sistemas confidenciais. Eles são particularmente difíceis de proteger. Felizmente, novas tecnologias, incluindo a IA, estão a começar a ajudar as empresas a controlar esta ameaça.