Ataques de API têm sido notícia ultimamente. A maioria das empresas (95%) sofreu ao menos um incidente de segurança de API nos últimos 12 meses. Apesar desse aumento, as organizações que executam APIs continuam despreparadas para enfrentar os crescentes ataques, de acordo com relatório sobre segurança de API da Salt Labs, divisão de pesquisa da empresa de segurança Salt Security.
Veja, neste artigo, como funcionam os ataques de APIs e por que WAFs são ineficientes para detê-los
O Gartner prevê que, até este ano, os abusos de API passem de um vetor de ataque pouco frequente para o mais frequente, resultando em violações de dados para aplicativos da Web corporativos.
Casos de ataques de APIs relatados pela mídia
Recentemente, uma grande empresa de telecomunicações na Austrália sofreu um incidente de segurança de API, expondo cerca de 10 milhões de registros de clientes.
Em março, uma violação da API Hubspot expôs os dados confidenciais de 1,6 milhão de usuários.
Em 2021 foi a vez de violações de segurança da API contra a Peloton, John Deere e Experian.
Por que tantos ataques baseados em API?
Porque as APIs são lucrativas para os invasores, elas impulsionam a economia no mundo conectado digitalmente por APIs, buscando dados em todos os lugares.
Uma empresa não pode simplesmente decidir eliminá-los ou limitar o acesso sem desacelerar a inovação do seu negócio. Sua única opção é proteger suas APIs contra os ataques, para garantir que os negócios cresçam e sejam fornecidos os serviços que os clientes esperam.
O que é um ataque de API?
Um ataque de API ocorre quando invasores usam um endpoint de API para acessar e explorar dados ou quando agentes maliciosos conseguem encontrar uma vulnerabilidade lógica nas APIs, invadi-las e fazer com que se comportem diferente do programado por seus desenvolvedores.
Por que WAFs são ineficientes para bloquear um ataque contra APIs?
Ataques baseados em transações, como o SQL Injection, eram interrompidos sem dificuldades por soluções tradicionais de segurança baseadas em proxy, como um WAF, que procuram padrões conhecidos e atuam como um firewall, bloqueando o mal conhecido.
As abordagens de segurança de API baseadas em servidor ou VM não têm um conjunto de dados amplo o suficiente ao longo do tempo para identificar os ataques sofisticados de API de hoje.
Em ataques à lógica de aplicativos, os hackers buscam descobrir falhas na lógica de negócios para exploração potencial, como obter acesso não autorizado a dados ou funcionalidades dentro da API, ou pontos fracos na API para lançar ataques de negação de serviço (DoS) de aplicativos de baixo tráfego.
Os ataques raramente resultam de uma única chamada de API. Embora as soluções de segurança tradicionais sejam efetivas na defesa contra vulnerabilidades conhecidas, em vulnerabilidades de API baseadas em lógica, não conseguem ter a mesma facilidade.
Para proteger as APIs, as organizações devem ser capazes de identificar vulnerabilidades baseadas em lógica nas APIs.
É preciso que as equipes de segurança entendam as características comportamentais de cada parâmetro e elemento em uso por esses endpoints. Um único endpoint de API sozinho pode ter milhares de permutações possíveis de lógica de negócios e de aplicativo subjacente que precisam ser examinadas e exercitadas para entender se o endpoint é capaz de executar algum comportamento negativo.
Os riscos de segurança de API mais significativos decorrem de falhas na lógica de negócios.
Proteja suas APIs com a Salt Security e a Sec4U!
A dependência de APIs continua a crescer à medida que elas se tornam cada vez mais decisivas para o sucesso de suas organizações. Entretanto, as ferramentas e processos de segurança atuais não podem acompanhar os novos protocolos de API e as tendências de ataque.
A Salt Security consegue descobrir todas as APIs, parar todos os ataques de API e eliminar vulnerabilidades de API em desenvolvimento.
A Sec4U é parceira Salt Security e especialista em implantação, monitoramento e suporte de Serviços Gerenciados de Segurança (MSS) com suas soluções.
Saiba mais em:
https://bit.ly/lp-saltsecurity
Acompanhe
nossas redes
Últimos Posts
