Você já parou para pensar que os seus aplicativos de produtividade, automação de marketing, CRM e rastreamento de projetos são todos baseados em API? Segundo o Gartner, até 2023 mais de 50% das transações B2B serão realizadas por meio de APIs, em tempo real.
Devido ao fato de as APIs, em sua maioria, lidarem com dados confidenciais, elas se tornaram o principal alvo de ataques de cibercriminosos.
O State of the API, maior e mais abrangente relatório e fonte de pesquisa sobre APIs do mundo, mostrou no primeiro trimestre de 2023, uma queda nos eventos de segurança que estão relacionados à API, com 56% dos participantes da pesquisa relatando que tais eventos acontecem menos de uma vez por ano, o que representa uma melhora em relação aos 52% do ano anterior. No entanto, alguns setores – como automotivo, educacional e de varejo – relataram taxas mais altas em relação aos incidentes mensais.
Mesmo com essa aparente queda, o cenário de ameaças continua em constante crescimento e, para conseguir neutralizá-lo, o modelo Zero Trust tornou-se fundamental para a segurança de APIs.
Lembrando que o Zero Trust parte do pressuposto de que se deve verificar tudo, todos e qualquer coisa que tente se conectar aos seus sistemas. E, quando falamos de APIs, isso se torna ainda mais necessário, pois elas podem deixar brechas, facilitando a entrada de atores mal-intencionados.
Ao aplicar esse modelo, cada solicitação de API é autenticada, autorizada e validada antes de qualquer ação. Porém, tão importante quanto esta atividade, podemos citar: a descoberta e o gerenciamento de APIs não autorizadas, desenvolvidas e implantadas sem o conhecimento e validação da equipe de TI ou de segurança.
Para encontrar uma API não autorizada, são utilizadas ferramentas automatizadas que examinam a rede, identificando APIs não listadas no diretório da organização. Após ser encontrada, avalia-se a possibilidade de colocá-la em conformidade com as políticas de segurança da empresa e, se não for possível, ela deverá ser desativada.
Como implementar o Zero Trust na segurança de API?
1 – Autenticação
Autenticar cada chamada de API, para verificar a identidade do chamador, por meio de chaves ou tokens de API – como OAuth 2.0 e OpenID Connect (OIDC).
2 – Autorização
Verificar se o chamador possui as permissões necessárias para realizar a ação solicitada, utilizando o Controle de Acesso Baseado em Função (RBAC) ou o Controle de Acesso Baseado em Atributo (ABAC).
3 – Validação
Mesmo após a autenticação e a autorização, a API deve ser validada, verificando a existência de qualquer conteúdo malicioso.
4 – Criptografia
Criptografar tanto os dados em trânsito quanto em repouso. HTTPS deve ser usado em todas as chamadas de API.
5 – Auditorias regulares e descoberta de APIs não autorizadas
Realizar auditorias regulares de API, a fim de detectar qualquer comportamento incomum ou suspeito, garantindo uma visão abrangente do cenário de APIs.
6 – API Gateway
Um Gateway de API ajuda a agregar e gerenciar APIs de uma organização, fornecendo controle de acesso e funções básicas de segurança, servindo como um complemento e não como um substituto para a segurança.
Autenticar, autorizar e validar com Zero Trust
Aplicar o modelo Zero Trust requer uma mudança de mentalidade, com a visão de que, para manter as APIs em segurança, se faz necessária a verificação de todos e tudo o que tentar se conectar ao sistema, ampliando o controle sobre o acesso aos dados.
Podemos dizer que, para garantir a segurança, é necessário: descobrir as APIs que estão em uso – incluindo as não oficiais, ou seja, aquelas que podem ter sido criadas para resolver algum problema tático de DevOps -, certificar-se de que todas estejam em conformidade com a política de segurança da organização – desativando as que não cumprirem tal requisito – e, por fim, ter um conjunto de ferramentas de segurança de API que sejam eficazes na proteção contra o uso indevido de APIs, assim como no manuseio de informações confidenciais de forma incorreta.
Por que Cequence é a melhor opção para a segurança de APIs?
A missão da Cequence é proteger as empresas hiperconectadas de hoje contra fraudes, abusos comerciais, perdas de dados e não conformidade em aplicações web, móveis e baseadas em API que conectam seus colaboradores, clientes, parceiros e fornecedores.
Cequence ajuda a proteger inúmeras chamadas de APIs. Vale ressaltar que 6 bilhões de chamadas de APIs e 2 bilhões de contas de usuários são protegidas diariamente por meio desta ferramenta.
A Leadcomm conta com uma equipe robusta de especialistas nas mais variadas práticas de cibersegurança. Entre em contato conosco e saiba como Cequence pode ajudar na proteção de suas APIs.
Fontes: Postman, Cequence
Comments are closed.
Recent Comments