O principal desafio é o crescimento rápido e muitas vezes descontrolado das APIs, que normalmente são construídas com velocidade, e não segurança, em mente. A superfície de ataque atual está cheia de APIs que são rapidamente desenvolvidas, insuficientemente testadas e liberadas com vulnerabilidades, como configurações incorretas e erros de codificação, tornando-as alvos de ataque populares.
As APIs expandem a superfície de ataque: a rápida expansão de APIs entre aplicações, serviços em nuvem e cadeias de suprimentos digitais fez delas um grande alvo para os invasores. Com 84% das organizações enfrentando incidentes de segurança de APIs no ano passado, fica claro que as ferramentas de segurança tradicionais não são mais suficientes. As organizações precisam de maior visibilidade das APIs e seus riscos, combinados com controles de segurança criados especificamente para ameaças a APIs.
A visibilidade é a pedra angular da segurança de APIs: as organizações que não têm uma visão clara e contínua de seu cenário de APIs não podem ver APIs não gerenciadas e esquecidas que não estão devidamente protegidas. Além disso, apenas 27% das empresas com inventários completos de APIs sabem quais APIs retornam dados confidenciais. Recursos mais fortes de descoberta de APIs e gerenciamento de postura podem ajudar.
Recursos de detecção e mitigação de ameaças criados para proteger APIs: as organizações também precisam de recursos mais profundos para detectar e lidar com ataques e abusos de API, incluindo todas as ameaças detalhadas no relatório OWASP Top 10 API Security Risks. Neste whitepaper, você aprenderá sobre 11 recursos essenciais de segurança de APIs, incluindo:
Descoberta e gerenciamento de postura de APIs de modo contínuo
Visualização do comportamento de APIs, incluindo acesso a dados confidenciais
Descoberta de tentativas de abuso de API por meio de contexto em entidades de usuário
Testes rigorosos de API em tempo real focados na segurança
Perguntas frequentes (FAQ)
A descoberta contínua de APIs e o gerenciamento de postura são essenciais porque garantem que você tenha um inventário abrangente e em tempo real de todas as APIs em seu ambiente, bem como uma análise abrangente dos riscos, incluindo a exposição a dados confidenciais. Essa visibilidade é crucial para identificar e proteger APIs não gerenciadas, como APIs zumbi e sombra, que podem representar riscos significativos se não forem verificadas.
A visualização do comportamento de APIs ajuda as equipes de segurança oferecendo uma visão clara e acionável de como as APIs estão sendo usadas ou abusadas. Ela permite que as partes interessadas de segurança, desenvolvimento e operações se comuniquem de forma eficaz e investiguem casos, garantindo que qualquer atividade suspeita seja rapidamente identificada e abordada.
As organizações podem descobrir e tratar essas vulnerabilidades de APIs adotando com antecedência uma abordagem shift-left para o teste de APIs em desenvolvimento. Os principais recursos incluem a realização de testes automatizados que simulam tráfego mal-intencionado, incluindo os tipos abordados no relatório OWASP Top 10 API Security Risks.
Um mecanismo de avaliação da confiança (attacker confidence engine) de um atacante pode utilizar algoritmos avançados de aprendizado de máquina, treinados para analisar sinais internos e externos, como comportamento de APIs (incluindo padrões de tráfego de rede, dados de geolocalização, fontes de inteligência contra ciberameaças e outros fatores contextuais) para determinar o nível de confiança de que um incidente identificado de tempo de execução seja resultado de uma atividade maliciosa.