Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
9 ferramentas de segurança de API na linha de frente da cibersegurança
Por John Breeden II
OSC |
As interfaces de programação de aplicativos (APIs) tornaram-se uma parte crítica de redes, programas, aplicativos, dispositivos e quase tudo no cenário da computação. Isso é especialmente verdadeiro para computação em nuvem e móvel, nenhum dos quais provavelmente poderia existir em sua forma atual sem APIs mantendo tudo junto ou gerenciando grande parte da funcionalidade de back-end.
Devido à sua confiabilidade e simplicidade, as APIs se tornaram onipresentes no cenário da computação. A maioria das organizações provavelmente nem sabe quantas APIs estão operando em suas redes, especialmente em suas nuvens. Provavelmente existem milhares de APIs trabalhando em empresas maiores e até mesmo organizações menores provavelmente dependem de mais APIs do que imaginam.
Por mais úteis que as APIs tenham se tornado, seu uso também criou um perigo. Como existem poucos padrões para criação de API e muitos são exclusivos, não é incomum que as APIs contenham vulnerabilidades exploráveis. Os malfeitores descobriram que atacar uma API geralmente é muito mais fácil do que ir atrás de um programa, banco de dados, aplicativo ou rede diretamente. Uma vez comprometida, não é difícil alterar a funcionalidade de uma API, tornando-a uma espécie de insider traidor que trabalha para o hacker.
O outro grande perigo das APIs é que elas quase sempre recebem permissões em excesso. Os programadores dão a eles altas permissões para que possam executar suas funções sem interrupção. Mas se um invasor comprometer uma API, ele poderá usar essas permissões altas para fazer outras coisas, como se tivesse comprometido a conta de um administrador humano. Isso se tornou um problema tão grande que a pesquisa da Akamai diz que os ataques contra APIs representam 75% de todas as tentativas de roubo de credenciais em todo o mundo. Os invasores sabem que as APIs são vulneráveis e onipresentes e estão atrás delas.
Dada a gravidade do problema com hacking de API, não é surpresa que o número de ferramentas de segurança de API também tenha crescido nos últimos anos. Existem dezenas de ferramentas comerciais projetadas para proteger APIs e centenas de ferramentas gratuitas ou de código aberto também. Muitos compartilham semelhanças e funcionalidades com outros tipos de programas de segurança cibernética, mas são configurados especificamente para a natureza exclusiva das APIs.
Em geral, as ferramentas de segurança da API se enquadram em uma das várias categorias, embora algumas ofereçam plataformas completas que tentam fazer tudo de uma vez. O tipo mais popular de ferramentas de segurança de API atualmente são aquelas que protegem as APIs de solicitações maliciosas, como um firewall de API. Outras ferramentas são projetadas para acessar e avaliar dinamicamente uma API específica para procurar vulnerabilidades para que seu código possa ser protegido contra ataques. Outros simplesmente examinam um ambiente para que uma organização possa descobrir quantas APIs existem em sua rede, com a ideia de que ninguém pode proteger o que não conhece.
Tentar compilar uma lista completa de ferramentas de segurança cibernética de API seria difícil, considerando quantas existem. Mas, ao estudar avaliações de usuários e comerciais, várias ferramentas começam a se destacar. A seguir estão algumas das principais ferramentas disponíveis para ajudar a reforçar a segurança da API com breves descrições de seus pontos fortes e funções. Centenas não fazem parte desta lista, mas isso deve fornecer um bom instantâneo do que está disponível e é possível ao tentar proteger APIs contra o cenário de ameaças cada vez mais hostil de hoje.
Aqui estão nove das principais ferramentas de segurança disponíveis agora:
Uma das ferramentas de segurança de API mais populares, o APIsec é quase totalmente automatizado, perfeito para organizações que podem estar apenas começando a melhorar a segurança de API. Em um ambiente de produção em que as APIs já estão estabelecidas, o APIsec as examinará e testará contra vulnerabilidades comuns, como ataques de injeção de script. Mas também testará completamente cada API para garantir que ela seja protegida contra coisas como ataques de processos de negócios que não são tão fáceis de detectar. Se forem encontrados problemas, ele os sinalizará juntamente com resultados detalhados para os analistas de segurança.
Anterior: Estrogênio cíclico/anti