Confiança zero em APIs em um mundo de negócios conectado

24. Outubro 2022
| Sem comentários
Confiança zero em APIs em um mundo de negócios conectado

Compartilhar postagem

Na economia digital, onde os fluxos de dados e o foco no cliente determinam os processos de negócios das empresas, as APIs ocupam uma posição crucial. Eles fornecem acesso a dados, sistemas e componentes de software relevantes. No entanto, isso também os torna um alvo interessante para hackers. É hora de confiança zero nas APIs.

Os hackers tentam roubar dados como nomes, números de contas, e-mail e endereços físicos atacando APIs e tráfego de API. No entanto, por sua própria natureza, proteger APIs e integrá-las a uma estratégia Zero Trust apresenta vários desafios para as organizações que precisam repensar sua abordagem de segurança.

Hackers gostam de atacar APIs

"É incrível quantos pilotos, mesmo na Fórmula 1, pensam que os freios existem para reduzir a velocidade do carro." controlar a inclinação e o peso de um carro e, assim, otimizar as curvas. Da mesma forma, a aplicação de políticas de segurança de TI deve, idealmente, refinar os processos subjacentes, em vez de torná-los mais complicados e, portanto, mais frustrantes para os usuários.

Existem APIs onde quer que a jornada do usuário precise ser acelerada, simplificada ou aprimorada: por exemplo, para fazer pagamentos com cartão de crédito em processos de pedidos digitais ou para realizar manutenção remota e atualizações de dispositivos. De acordo com a alegação, a segurança deve estar "integrada" em cenários de aplicativos como esses desde o início, mas a realidade mostra que os hackers fazem mau uso das APIs para seus próprios fins. Isso acontece repetidamente devido a processos inadequados de autenticação e autorização.

APIs sem autenticação em uso

Por exemplo, na primavera passada, os especialistas em segurança de API da Salt Security descobriram uma API na John Deere, uma empresa conhecida por seus tratores, entre outras coisas, que os hackers poderiam chamar para determinar se um determinado nome de usuário estava em uso. Os especialistas automatizaram uma rotina de consulta que lhes permitiu determinar em dois minutos quais das empresas da Fortune 1000 tinham contas John Deere porque a API não exigia autenticação nem limitava o número de consultas. Cerca de 20 por cento das empresas tinham uma conta.

Outro endpoint de API tornou possível enviar um número de identificação de veículo (VIN) e recuperar uma grande quantidade de metadados sobre o dispositivo, proprietário e localização. Os hackers podem facilmente obter VINs de sites de leilões gerais. Embora a API exigisse autenticação, ela falhou ao autorizar adequadamente os remetentes de solicitação de API.

Confiança zero ao longo do ciclo de vida da API

Aparentemente, "Security by Design" como base para proteção de dados em TI é difícil de implementar com APIs. Às vezes, isso pode ser devido ao fato de que os processos de desenvolvimento de APIs são baseados principalmente em especificações de negócios e são dissociados organizacionalmente dos processos de segurança de TI. Diferentes atores nas empresas desenvolvem e fornecem as APIs necessárias para o seu propósito. Ou assumem as interfaces de outras empresas. A suposição de que essas APIs estão conectadas à infraestrutura de rede e, portanto, à estrutura de segurança que as cerca, dá aos usuários uma falsa sensação de segurança. No entanto, isso geralmente não é suficiente para proteger os fluxos de dados por meio de APIs fora e dentro de uma empresa.

Este último, em particular, requer suas próprias medidas de segurança. Porque nem todo acesso que vem da sua própria infraestrutura é autorizado automaticamente. Para controlar as solicitações de forma verdadeira e eficiente, as tecnologias de segurança também devem abordar pessoas, processos e padrões de acesso. Além disso, o princípio sempre se aplica: confiança é bom, controle é melhor. Zero Trust, portanto, exige que cada dispositivo e conexão se autentique cada vez que for contatado para obter acesso autorizado. Para que isso ocorra de forma confiável também com APIs, são necessárias medidas de segurança ao longo de todo o ciclo de vida das interfaces. Para evitar que as APIs se tornem vulnerabilidades de segurança, as empresas devem seguir estas cinco regras básicas:

  • Autenticação e autorização de ponta a ponta: Os processos associados não devem ocorrer apenas diretamente na API ou no gateway. Eles devem ser repetidos nos aplicativos subjacentes.
  • Aproveite os processos de Integração Contínua/Entrega Contínua: Os desenvolvedores devem verificar como podem integrar diretrizes de segurança em seus ciclos de produção e quais processos de validação podem automatizar com CI/CD durante isso.
  • Implemente medidas de segurança automatizadas: As equipes de operações de segurança devem garantir que os dados trocados nas comunicações da API sejam protegidos durante a transmissão, tanto na infraestrutura quanto com outros sistemas. Para fazer isso, os processos devem aplicar políticas automaticamente, por exemplo, para proteger os dados contra acesso onde quer que estejam.
  • Capture tudo centralmente: Para melhor adequar a segurança de TI e o desenvolvimento de aplicativos, é essencial registrar e analisar todos os processos e, se necessário, verificar se há riscos. O local apropriado para isso é um repositório central no qual os responsáveis ​​podem rastrear todos os processos a qualquer momento.
  • Cooperação com segurança de TI: As equipes de desenvolvimento de API precisam trabalhar com os responsáveis ​​pela segurança de TI. Juntos, eles podem determinar a eficácia das medidas existentes para possíveis problemas de segurança da API e expandi-las, se necessário. Eles também devem passar por vários cenários de perda de dados e desenvolver um plano de emergência. Em todas as circunstâncias, deve-se evitar uma API sombra que apenas os departamentos que a utilizam conheçam.

Crie transparência e exerça controle

A segurança e a troca de dados podem representar uma contradição, e isso também se aplica especialmente às APIs: por um lado, as empresas as utilizam para desmembrar processos, abrir suas estruturas, simplificar processos para os usuários e expandir seu modelo de negócios. Por outro lado, eles não devem perder o controle do tráfego de dados neste ponto. Para conciliar os dois, as empresas precisam de transparência. Todos os envolvidos precisam ter certeza de que conhecem e gerenciam de forma confiável todas as APIs que usam.

Os gateways de API podem ajudá-los a descobrir automaticamente todas as APIs da empresa e aplicar políticas de segurança. Uma solução eficaz de gerenciamento de API monitora quem está usando quais APIs e também alerta o gerente sobre qualquer comportamento incomum ou suspeito que possa indicar que uma pessoa não autorizada está trabalhando. Os respectivos departamentos também estão envolvidos na segurança. Combinado com a governança de API centralizada, as organizações podem incorporar segurança em todo o ciclo de vida de uma API e protegê-la contra adulteração de comunicação não autorizada sem comprometer a experiência do usuário.

Mais em Axway.com

 

Sobre a Axway

A Axway traz um novo impulso às infraestruturas de TI existentes, ajudando mais de 11.000 clientes em todo o mundo a aproveitar o que já possuem e alcançar a digitalização, novas oportunidades de negócios e crescimento. A Amplify API Management Platform é a única plataforma aberta e independente para gerenciar e governar APIs entre equipes, nuvem híbrida e soluções externas.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Stories
, , , , , ,