As APIs estão colocando as redes de negócios em um nível de risco agudo e sem precedentes – uma dinâmica que ainda precisa ser totalmente reconhecida pelas empresas.
Dito isso, as APIs certamente receberão muito mais atenção das equipes de segurança - e dos membros do conselho preocupados com a mitigação de riscos cibernéticos - em 2022. Isso ocorre porque uma confluência de desenvolvimentos em 2021 colocou a segurança da API no centro das atenções, onde precisa estar.
As APIs surgiram como uma ferramenta obrigatória usada por agentes de ameaças nas fases iniciais de ataques de rede sofisticados e em vários estágios. Ao obter um ponto de apoio em um dispositivo ou servidor direcionado, os invasores agora rapidamente voltam sua atenção para localizar e manipular APIs disponíveis.
“Os agentes de ameaças estão cientes de que as APIs representam uma tonelada de oportunidades expostas”, diz Mike Spanbauer, evangelista de segurança da Juniper Networks, fornecedora de tecnologia de rede com sede em Sunnyvale, Califórnia.
Ao longo do ano passado, tive várias conversas profundas analisando como as APIs surgiram como uma faca de dois gumes: as APIs aceleram a transformação digital, mas também expandem muito a superfície de ataque das redes empresariais modernas. Eu me aprofundei nisso com a Spanbauer, bem como com especialistas em vários fornecedores de sistemas avançados de segurança de API. Aqui estão as minhas principais conclusões:
Manipulando APIs
Uma grande razão pela qual as APIs não receberam a atenção que merecem pode ser que, do ponto de vista da segurança, elas se enquadram em uma categoria de táticas de hackers conhecidas como Living off the Land, ou LotL. É quando os invasores usam ferramentas pré-instaladas do sistema operacional para escapar da detecção enquanto executam tarefas não autorizadas.
As táticas de LotL não são muito bem compreendidas pelos tomadores de decisão não técnicos da empresa; elas são apenas uma das várias categorias de exposições de segurança diferenciadas que há muito exigem mais atenção. No entanto, as táticas de LotL tiveram um impacto negativo profundo; existem mais de 100 ferramentas de sistema Windows projetadas para executar novos códigos em sistemas críticos — a pedido de qualquer usuário com acesso privilegiado. E os agentes de ameaças compilaram manuais abrangentes sobre como obter direitos de acesso privilegiados de forma clandestina e, em seguida, assumir o controle de ferramentas de rede integradas.
Parece-me que os invasores passaram a utilizar as APIs como, em essência, uma ferramenta integrada em esteróides. A principal funcionalidade de uma API é servir como um canal para mover dados de um lado para o outro em nosso mundo digitalmente transformado. As APIs são um mecanismo de acesso que entra em ação em toda a extensão do comércio digital – não apenas dentro dos sistemas Windows.
As APIs são hubs para os caminhos que conectam os usuários a novos aplicativos interessantes, que, por sua vez, acessam bancos de dados virtuais, que por sua vez residem na infraestrutura de TI fornecida na nuvem. Além disso, as APIs são projetadas para ajudar a interconectar usuários distantes com ativos digitais dispersos em um conglomerado de datacenters locais e vários serviços em nuvem. As arquiteturas de segurança legadas simplesmente não se encaixam nesse ambiente extremamente complexo e altamente dinâmico.
De alguma forma, mais atenção e processos de segurança precisam ser focados em APIs sem diminuir sua utilidade. “Nos últimos anos, os agentes de ameaças aumentaram suas táticas avançadas para encontrar pontos fracos da API e explorá-los”, diz Spanbauer. “Isso significa que, no lado da proteção da equação, precisamos ficar mais espertos sobre como aproveitar a tecnologia para tentar ajudar as empresas a lidar com esse desafio de segurança muito complexo.”
Os chefões dos principais coletivos de hackers criminosos não são idiotas. Nos últimos dois anos, enquanto as equipes de segurança lutam para encontrar o caminho a seguir, elas implantam suas equipes de hackers para explorar o número crescente de APIs ao seu alcance.
Esses chefões percebem que levará algum tempo para que as empresas aumentem efetivamente o nível de segurança da API. Por isso, eles mantiveram suas equipes de hackers ocupadas utilizando APIs como canais para se mover lateralmente dentro de redes violadas, localizar ativos valiosos, roubar dados e incorporar malware.
Multiplicador de cadeia de ataque
A atividade maliciosa da API agora afeta rotineiramente as fases iniciais de quase todos os hacks em vários estágios. A manipulação de API, por exemplo, foi fundamental para aumentar os ataques de marco contra Capital One, Solar Winds, Colonial Pipeline, Kaseya, Microsoft Exchange e muitos outros.
“Os atores mal-intencionados estão aproveitando as APIs como outro vetor de infecção, embora poderoso”, diz Spanbauer. “As APIs entram em ação no primeiro estágio de um ataque em vários estágios. Uma vez que o mau ator entra na primeira porta, por meio de uma API, ele pode criptografar e compactar vários arquivos ou dados detalhados para enviar ou procurar uma oportunidade para expandir ainda mais seu comprometimento.”
O hack da Microsoft na primavera passada ilustra vividamente como as APIs silenciosamente se tornaram o elo crítico na cyber-attack chain dos hackers. No início de março, a Microsoft reconheceu publicamente que uma rede de hackers chinesa, a Hafnium, estava explorando várias vulnerabilidades de zero-day no Exchange Server para obter acesso total e irrestrito às redes da empresa alvo. A Microsoft também lançou um patch de emergência para o Exchange Server, o venerável sistema de e-mail local ainda em uso global.
Então, nos próximos dias, Exchange Servers sem patches foram violados em cerca de 30.000 organizações dos EUA e 60.000 entidades alemãs. Isso foi obra de cerca de 10 hacking rings que entraram em ação no momento em que a Microsoft lançou seu patch. Esses grupos criminosos rapidamente fizeram engenharia reversa do patch da Microsoft e depois se apressaram para comprometer o maior número possível de servidores Exchange sem patch.
Após cada comprometimento bem-sucedido do Exchange Server, os próximos passos dos invasores eram manipular as APIs para ir mais fundo. Este relatório compilado por analistas de segurança da Cybereason detalha como um anel, os controladores do botnet Prometei, utilizou APIs nativas para assumir o controle de várias ferramentas do sistema Windows. Isso permitiu que os invasores instalassem rapidamente um botnet de criptomoeda, roubassem credenciais e procurassem outras vulnerabilidades não corrigidas para explorar.
“As APIs representam um enorme vetor de ataque emergente, muito maior do que as pessoas imaginam”, observa Spanbauer. “E como os usuários não interagem com as APIs da mesma forma que fazem com os aplicativos, há um desafio significativo de visibilidade, muitas atividades maliciosas de API acontecem bem abaixo do radar.”
Invertendo o pêndulo
O caminho a seguir parece óbvio para os fornecedores de segurança cibernética com quem discuti as exposições de API no ano passado. As empresas simplesmente devem atingir um nível mais alto de visibilidade de suas APIs e começar a aplicar políticas de segurança mais inteligentes projetadas para retardar a manipulação maliciosa delas. As ferramentas e estruturas de segurança precisam ser ajustadas para considerar todas as APIs e estar em alerta máxima para qualquer atividade de API não autorizada.
Observa Spanbauer: “Precisamos aumentar nossas capacidades para nos tornarmos aptos a ajudar as organizações a lidar de forma mais rápida e eficaz com esse novo e complexo desafio. Saber que algo ruim aconteceu é mais difícil do que nunca com aplicativos. É por isso que precisamos depender mais do que nunca de ferramentas avançadas de análise e visibilidade.”
A boa notícia é que essa mudança está em andamento, embora, como em todo o resto, a melhoria do material de segurança cibernética não aconteça da noite para o dia. Neste verão, o Gartner designou a segurança da API como um pilar autônomo em sua arquitetura de referência de segurança, não apenas um componente complementar a outros sistemas.
O reconhecimento do Gartner sinaliza o nascimento de uma nova subespecialidade de segurança cibernética – uma classe de fornecedores focados em ajudar a empresa a tornar suas APIs à prova de segurança, tanto no desenvolvimento quanto na implantação de novas APIs em campo.
Por sua vez, a Juniper Networks considera maior visibilidade de API e gerenciamento aprimorado em tempo real de APIs como vertentes integrantes de sua estratégia maior de Segurança Conectada. Como fornecedor líder de roteadores, switches e sistemas de gerenciamento de rede avançados, a empresa montou um portfólio abrangente de serviços de segurança de rede para servir de base para essa estratégia.
Em alto nível, o Juniper Connected Security pede que as empresas acompanhem muito mais de perto os principais ativos e se tornem muito mais hábeis no desenvolvimento e aplicação de políticas que melhorem a segurança sem prejudicar a experiência do usuário. Isso pode ser feito aplicando o aprendizado de máquina com mais habilidade aos rios de dados que inundam as redes modernas da empresa todos os dias, diz Spanbauer.
“À medida que o vetor de ataque da API continua a crescer, o mesmo acontece com as proteções”, diz ele. “Os agentes de ameaças veem o potencial das APIs como uma ferramenta de ataque e continuam a aumentar seus recursos. Continuamos investindo em nosso firewall de próxima geração e em nossos recursos de segurança baseados em nuvem para combater essa tendência. E estamos comprometidos em aproveitar todas as ferramentas em nosso arsenal para proteger nossos clientes.”
As exposições à API são generalizadas e continuam a se multiplicar. À medida que começamos o novo ano, os grupos de hackers criminosos estão aproveitando ao máximo. No entanto, o pêndulo agora está definido para reverter a direção e oscilar em favor de um design e implantação de APIs mais seguros. Vou ficar de olho e continuar relatando.
Autor
Byron V. Acohido (The Last Watchdog on Privacy & Security)
Tradução e Revisão
Carol Morais (Skalena Ltda)
Customer Success