Alguns serviços dependem da integração entre softwares, aplicativos ou sistemas para serem executados pelo usuário final e essa comunicação é possível devido à existência das APIs presentes no dia a dia das pessoas.

Porém, com o avanço constante da tecnologia, essas ferramentas têm sido vetores de ataques de agentes mal-intencionados, conforme explicamos a seguir neste texto. Aqui, também mostramos qual é a importância de investir na segurança de APIs e quais são os principais desafios para alcançar esse objetivo.

Para facilitar sua leitura e tornar nosso conteúdo mais compreensível, dividimos este artigo em tópicos, abordando os seguintes assuntos:

• O que é uma API?

• API hoje

• O que é a segurança de APIs e qual a sua importância?

• Tipo de ataques frequentes às APIs

• Seis melhores práticas para garantir a segurança de APIs

• Sobre o senhasegura

• Conclusão

Boa leitura!

• O que é uma API?

A expressão em inglês Application Programming Interface (API), que significa “Interface de Programação de Aplicativos”, consiste em um conjunto de padrões de programação que permitem acessar um aplicativo ou plataforma. 

Esse mecanismo é criado quando uma organização de software pretende que sejam desenvolvidos outros programas relacionados ao serviço que oferecem. 

Desse modo, disponibilizam códigos para serem usados em outros sites por seu usuário final. É o que ocorre com o Google Maps, quando é adaptado para ser utilizado por outros sites, como páginas de hotéis. 

Isso é possível com a intermediação de uma API utilizada pelos desenvolvedores do site do hotel com o código do Google Maps.

Isso significa que as APIs possibilitam uma comunicação entre diferentes aplicativos por meio de diversos códigos, sem um esforço por parte dos usuários. 

Uma API é útil para ligar diversas funcionalidades de um site que podem ser utilizadas em outros serviços, o que é possível mediante programação. 

• API hoje

Uma API é normalmente descrita como uma interface que conecta aplicativos. Porém, esse conceito genérico já não explica totalmente as funcionalidades dessa ferramenta, que ganhou novas características recentemente.

As APIs hoje aderem a modelos acessíveis e facilmente compreendidos pelos desenvolvedores. São consideradas produtos, utilizados por consumidores específicos, e apresentam versões, o que garante seu ciclo de vida.

São softwares extremamente padronizados, voltados à governança e segurança e, também é possível monitorar as APIs e gerenciar seu desempenho. 

Seu ciclo de vida incluiu as fases de projeto, teste, construção, gerenciamento e controle de versão. As APIs modernas ainda são documentadas para consumo.

Essas APIs se espalham por meio de plug-ins. Na prática, os desenvolvedores de determinado aplicativo criam uma API e disponibilizam a outros desenvolvedores, que criam outros plug-in’s, potencializando o funcionamento desse programa.  

• O que é a segurança de APIs e qual a sua importância?

Com o avanço da tecnologia, os cibercriminosos estão indo além de seus alvos convencionais e expandindo sua atuação para IoT, aplicativos externos e aplicativos móveis. 

Com isso, a grande quantidade de APIs existentes passou a representar um desafio para os profissionais de segurança da informação. 

Para completar, muitas vezes os desenvolvedores não possuem todas as habilidades para desenvolverem uma API sem falhas e em conformidade com as normas de segurança da web e da nuvem, gerando vulnerabilidade aos programas. Desse modo, surgem muitos riscos, como:

• Falhas de autorização;
• Exposição de dados;
• Negação de serviço;
• Falhas em configurações de segurança;
• Endpoints.

APIs vulneráveis abrem espaço para a atuação de hackers, que podem acessar informações sigilosas, dados médicos e financeiros das organizações, gerando prejuízos incalculáveis.

Quando falamos sobre segurança de API, normalmente nos referimos à proteção dos serviços de back-end de um aplicativo, incluindo seu banco de dados, sistema de gerenciamento de usuários ou outros componentes que interagem com o armazenamento de dados.

Desse modo, é fundamental garantir a segurança de APIs, que abrange o uso de recursos e a adoção de procedimentos de proteção. A segurança de APIs de uma empresa envolve os serviços que as utilizam e deve impedir que agentes maliciosos acessem dados confidenciais e executem ações não autorizadas. 

Vale ressaltar que os aplicativos de outras empresas impactam na segurança de APIs. Por isso, é fundamental que os riscos sejam avaliados pelo time de TI, para que seja criado um plano de proteção eficiente. 

Tipo de ataques frequentes às APIs

Confira a seguir os ataques mais comuns às APIs:

• Ataque de injeção

Quando um desenvolvedor de API não limita as entradas a determinados aplicativos, os agentes mal-intencionados podem efetuar um ataque de injeção de API, enviando um script ao servidor com uma solicitação que possibilita acessar o programa. 

• Ataque de autenticação roubada

APIs configuradas com padrões de autenticação errados geram vulnerabilidade às organizações, que precisam impedir que hackers acessem os controles dessa API e roubem dados de seus clientes.  Processos de autenticação inadequados também podem dar margem para ataques de força bruta. 

• Ataque Man-in-the-Middle (MITM)

Transmissão de mensagens não assinadas ou criptografadas, problemas na configuração da sessão segura ou mesmo a utilização de criptografia SSL/TLS com a configuração incorreta, podem comprometer a segurança de APIs e tornar uma organização vulnerável a ataque Man-in-the-middle, comprometendo todas as mensagens com o cliente.

Assim, agentes mal-intencionados conseguem acesso a dados confidenciais, como informações de identificação pessoal. 

• Ataque DDoS

Os endpoints da API tornaram-se alvo de ataque para DDoS. Os agentes maliciosos apontam um bot para a API e realizam diversas solicitações em um endpoint até exceder a tolerância dessas solicitações e afetar sua capacidade de resposta, indisponibilizando o serviço para os usuários. 

Para proteger uma API contra ataques DDoS, recomendamos a proteção de borda e o Firewall de aplicativo da Web com WAAP. 

Seis melhores práticas para garantir a segurança de APIs

Algumas práticas são recomendadas para garantir a segurança de APIs. Veja a seguir o que deve ser feito com esse objetivo.

• Analise as vulnerabilidades da API

Para garantir a segurança de APIs, é necessário que a verificação automática seja habilitada, a fim de detectar vulnerabilidades e eliminá-las nas diferentes fases do ciclo de vida do software. 

Os recursos de verificação automatizada permitem identificar falhas de segurança, na medida em que comparam a configuração do aplicativo com um banco de dados de vulnerabilidades conhecido.

Na prática, o Crashtest Security Suite permite escanear as vulnerabilidades, contribuindo para estabelecer um processo de teste contínuo e evitar invasões geradas por falta de segurança de API.  

O conjunto ainda realiza benchmarks referentes ao top 10 da OWASP e fornece uma análise de segurança para APIs, aplicativos e JavaScripts. 

• Restrinja métodos HTTP

APIs REST habilitam programas capazes de executar diversas operações de HTTP.  Informações de HTTP não são criptografados, sendo assim, esses métodos podem facilitar ataques. 

Para ter mais segurança, é importante proibir métodos HTTP inseguros, mas caso isso não seja possível, recomendamos que se restrinja sua lista de permissões, rejeitando todas as solicitações que não façam parte da lista. 

Outra importante medida é o uso das práticas de autenticação da API RESTful, que garantem que o usuário possa utilizar o método HTTP.

• Evite entradas não íntegras, implementando mecanismos de validação de entrada

Quando o cliente da API disponibilizar um dado, não confie totalmente, uma vez que o servidor de autenticação pode executar um serviço de aplicativos que não foi autorizado ou um script malicioso.  

Nesse sentido, é recomendado que os profissionais de segurança da informação implementem mecanismos que permitam validar a entrada no servidor e no cliente de modo a evitar entradas não íntegras. 

No que diz respeito ao cliente, essa validação tem a função de indicar erros e avisar sobre entradas que devem ser aceitas. No lado do servidor, serve para verificar os dados recebidos e evitar ameaças, como ataques SQL Injection e XSS. 

• Defina um limite máximo de solicitações 

A limitação de solicitações é uma medida de segurança de APIs que exige configurar um estado temporário para que a API analise as solicitações. Normalmente é utilizada para evitar abusos, spam ou ataques de negação de serviço. Ela também contribui para gerenciar a segurança da API REST e evitar ataques de força bruta e DDoS. 

Algumas APIs podem ter limites flexíveis, possibilitando que os usuários ultrapassem os limites de solicitações por um tempo curto. Por isso, definir o limite desse tempo é uma prática recomendada para garantir a segurança de APIs. 

Além disso, as bibliotecas de filas de solicitações possibilitam criar APIs que aceitam um número pré-definido de solicitações, colocando as demais em uma fila de espera. 

•  HTTPS/TLS devem ser utilizadas para APIs REST

HTTPS e Transport Layer Security (TLS) proporcionam segurança para a transferência de informações criptografadas entre servidores da web e navegadores. Além disso, o HTTPS contribui para a proteção de credenciais de autenticação em trânsito. 

É recomendado que toda API implemente HTTPS para garantir a confidencialidade, autenticidade e integridade. E mais: aconselha-se ainda que os profissionais de segurança utilizem certificados mutuamente autenticados do lado do cliente para proporcionar mais segurança para operações e informações confidenciais. 

Na hora de criar uma API REST, é necessário que se evite redirecionar HTTP para HTTPS, colocando em risco a segurança do usuário.  Também é importante tomar medidas que desviem solicitações de Compartilhamento de Recursos de Origem Cruzada (CORS) e JSONP para chamadas entre domínios.

• Utilize uma plataforma de gerenciamento de API

Um gateway de API tem a finalidade de separar a interface do cliente da coleção de APIs de back-end, e garantir a disponibilidade e escalabilidade dos serviços de API. 

Além de administrar os mais diversos serviços de API, a plataforma de gerenciamento de API possibilita gerenciar funções padrão, como limitação de taxa, telemetria e autenticação de usuário.

 O gateway de API é caracterizado por aceitar chamadas de API, coordenar recursos necessários para atendê-la, efetuar a autenticação, e garantir os resultados apropriados. 

• Sobre o senhasegura

Para nós, do senhasegura, a proteção, o acesso e o sigilo de informações privilegiadas são um direito de todas as pessoas físicas e jurídicas. Por isso, buscamos atuar como a melhor solução de gestão de acesso privilegiado do mercado.

Nosso compromisso é auxiliar as organizações a construírem soberania e segurança sobre acessos e informações privilegiadas.

• Conclusão

Lendo este artigo, você viu que:

• APIs são um conjunto de padrões de programação que permitem a integração entre softwares, aplicativos e sistemas executados pelo usuário final;
• Eles contribuem com a governança e segurança das organizações, podem ser monitorados e terem seus desempenhos gerenciados;
• Com a evolução da tecnologia, porém, essas ferramentas tornaram-se vetores de ataques de agentes maliciosos;
• Desse modo, a grande quantidade de APIs existentes tornou-se um desafio para os profissionais de segurança da informação;
• Garantir a segurança de APIs com o uso de ferramentas e a adoção de procedimentos que visam proteger essa solução, é essencial;
• Entre os tipos de ataques às APIs, destacam-se: ataque de injeção, ataque de autenticação roubada, Ataque Man-in-the-Middle (MITM) e Ataque DDoS;
• Para garantir a segurança de APIs, é fundamental analisar suas vulnerabilidades; restringir métodos HTTP; evitar entradas não-íntegras, implementando mecanismos de validação de entrada; definir um limite máximo de solicitações; utilizar HTTPS/TLS para APIs REST e gateway de API.
• Também teve a oportunidade de conhecer um pouco sobre o trabalho desenvolvido pelo senhasegura para promover a segurança de seus clientes.

Gostou do nosso artigo sobre segurança de APIs? Então, compartilhe com outra pessoa que tenha interesse nesse assunto e continue acompanhando nossas postagens. 

LEIA TAMBÉM NO BLOG DO SENHASEGURA

Reutilização de senhas: entenda os riscos dessa prática

Tudo o que você precisa saber sobre chaves SSH

Força de senha: como criar senhas fortes para as credenciais?