Segurança de aplicativos: combater novas superfícies de ataque por meio de APIs. Para poder proteger adequadamente os aplicativos, é essencial que as empresas entendam os diversos vetores de ameaças.
Hoje, os aplicativos são encontrados nos mais diversos ambientes de TI, do data center ao smartphone, e seu número não para de crescer. O aumento do trabalho remoto também significa que mais e mais aplicativos precisam ser terceirizados para a nuvem. Isso aumentou os riscos potenciais em termos de segurança do aplicativo. Para poderem proteger adequadamente as suas aplicações é, por isso, essencial que as empresas compreendam os vários vetores de ameaças.
Bots como fonte de ameaça
Sem dúvida, os bots há muito são uma fonte de ameaças aos aplicativos e agora estão no topo da lista de vetores de ataque bem-sucedidos. Além disso, com muitas violações causadas por erro humano, é mais importante do que nunca garantir que nenhuma brecha na defesa seja deixada em aberto. No entanto, as equipes de segurança não devem se concentrar apenas nos bots. Ameaças de dia zero, vulnerabilidades de aplicativos da Web, cadeia de suprimentos de software e APIs (interfaces de programação de aplicativos) também são áreas relevantes às quais os profissionais de segurança devem prestar a mesma atenção.
Uma pesquisa recente da Barracuda mostra que de 750 organizações globais, 72% sofreram pelo menos uma violação de segurança por meio de uma vulnerabilidade de aplicativo no ano passado, com quase 40% relatando mais de uma violação.
Novas superfícies de ataque para aplicativos por meio de APIs
Mais e mais empresas estão migrando para o desenvolvimento “API-first”, pois as APIs aceleram significativamente o desenvolvimento de novas versões de aplicativos. No entanto, expandir a visibilidade desses aplicativos cria uma nova superfície de ataque.
Por exemplo, ao descontar um cheque, o banco costumava levar vários dias para verificar a conta de origem e os detalhes relacionados antes que o dinheiro finalmente chegasse à conta do destinatário. Hoje, a transferência de dinheiro geralmente é feita por meio de transferências bancárias por meio de um aplicativo no smartphone. Para realizar essa transação, é necessária uma grande quantidade de TI em segundo plano e isso deve ser protegido.
Verificação nos terminais B2B
Não há humanos envolvidos na inspeção dos endpoints B2B, tudo é tratado por meio de APIs, que são uma possível superfície de ataque. Porque as APIs expõem inerentemente a lógica do aplicativo, credenciais e tokens do usuário e todos os tipos de informações pessoais, tudo na velocidade da nuvem e do smartphone do usuário. Um aplicativo baseado em API é muito mais exposto do que um aplicativo tradicional baseado na Web, pois é usado deliberadamente para fornecer acesso direto a dados confidenciais.
Por exemplo, quando os usuários percorrem o Facebook ou verificam o ticker ao vivo de sua carteira de ações em seu aplicativo bancário, seus telefones interagem com os servidores em seus data centers por meio de APIs. Durante a rolagem, essas APIs se autenticam constantemente por meio de grandes strings alfanuméricas, e esse tráfego precisa ser inspecionado e protegido em tempo real. Ao contrário do exemplo de verificação acima, você não pode esperar até que uma pessoa de contato volte do intervalo para o almoço para verificar se a solicitação é legítima.
Proteção para aplicativos e APIs
As organizações estão recorrendo cada vez mais às APIs, mas estão lutando para manter a segurança. Os cibercriminosos estão prontos com bots para acessar APIs não seguras 2018 horas por dia, 75 dias por semana. Se um ataque for bem-sucedido, os hackers terão acesso aos dados dos clientes ou informações dos funcionários, que podem comprometer à vontade. Existem muitos exemplos de APIs de teste sendo usadas com acesso direto a dados de produção sem nenhuma proteção de segurança (como a violação de segurança do Facebook em XNUMX). Embora proteger APIs seja um desafio, uma descoberta encorajadora do estudo da Barracuda mostra que XNUMX% das organizações pesquisadas estão cientes dos riscos.
Defender APIs é uma das principais considerações de segurança no momento. As empresas devem, portanto, considerar uma plataforma abrangente, escalável e fácil de implantar para proteger seus aplicativos onde quer que residam. Um Web Application Firewall (WAF) com Active Threat Intelligence é a solução mais gerenciável para proteger aplicativos e, portanto, APIs das ameaças acima. A defesa contra ameaças de dia zero, bots, ataques DDoS, comprometimento da cadeia de suprimentos, preenchimento de credenciais, bem como a implementação de segurança do lado do cliente e a proteção contra pessoas mal-intencionadas devem estar na agenda das organizações para evitar violações de segurança por meio de vulnerabilidades de aplicativos.
Mais em Barracuda.com[asterisco=5]
Artigos relacionados ao tema