• Edgar Silva

Segurança das APIs como fator crítico

O mundo está cada dia mais expondo APIs (Open), Segurança de APIs é crítico e vamos entender estas razões:

  1. Gartner prevê que até 2022 as APIs serão os pontos #1 de ataques de hackers

  2. Existem brechas de APIs a toda semana – Veja alguns exemplos na newsletter da https://apisecurity.io/ . Abaixo alguns exemplos:

  3. Equifax teve uma brecha de vulnerabilidade oriunda do uso de uma biblioteca sem suporte do Apache Struts (popular framework de desenvolvimento web Java) mais especificamente nos cabeçalhos http . A empresa aceitou pagar uma multa de 700 Milhões de Dólares, O valor da Equifax, um gigante na área financeira foi considerável reduzido.

  4. Sistema Governo Frances Tchap foi hackeado por não forçar a validação de um parâmetro de dado de e-mail, permitindo que pessoas de forma do domínio pudessem te acesso ao sistema de forma indevida (entrada não validada: (fs0c131y@protonmail.com@elysee.fr).

  5. LandMark White – Foi hackeada devido a uma falha de segurança no backend, eles perderam marketshare, valor das ações caíram, tendo ficado fora do mercado por período de tempo, e seu CEO teve que sair.

Por que é tão difícil aplicar segurança em APIs?

  1. APIs são distribuídas – Empresas possuem dezenas, centenas o milhares de APIs externas (através do uso de API Gateways como WSO2, Sensedia, CA, Axway, AWS, Azure etc), que são desenvolvidas e mantidas em alguns casos por times diferentes.

  2. APIs usam um stack variado de implementações: AWS API gateway, AWS Lambda & EC2, linguagens de programação (Node.js, Go, Python), etc.

  3. APIs são “frontends” de dados críticos, incluindo pessoais (LGDP, GDPR)

  4. O uso correto ou fraudulento de APIs está específico muitas vezes na implementação, não existe uma forma de uma regra única e universal para saber se uma mensagem(payload) esperada pela API é algo esperado ou é proveniente de um ataque.

Teoricamente, é possível ter todos os desenvolvedores exaustivamente treinados em segurança de APIs que apliquem todos e quaisquer testes de segurança (autenticação, autorização, transporte, JWT, cada pedaço do dato indo e voltando) e todos os possíveis pontos de entrada (formato de todos os cabeçalhos, valores fora de uma faixa ou padrão etc) – Na realidade atentar de forma humana e manual é sem dúvida pouco prática e impossível.

O custo em termos de esforço manual e o risco de erros humano tem se tornado quase que proibitivos em termos de custos.

A Skalena é o distribuidor da Plataforma 42Crunch na América do Sul, quando nós trouxermos essa parceria para região, o nosso maior objetivo é fazer com que os nossos mercados cada vez mais possam abrir suas APIs sem as possíveis e recorrentes dúvidas a respeito de segurança e acesso.

Nós estamos cada vez vivendo a era “Open”, já temos o Open Banking a caminho de uma regulação no Brasil, e na sequência temos a Open Insurance (para seguros), e agora recente vimos a Open Retail Initiative. De modo geral a democratização do acesso a informação, trará enormes benefícios, mas também mazelas de segurança que temos que evitar a todo o custo.

E como a plataforma 42Crunch pode ajudar você de forma resumida?

  1. É integrável com qualquer API Gateway/Manager de mercado, se você usa Sensedia, WSO2, CA, 3Scale, Apigee, Kong, Tyq etc, o papel de segurança e prevenção de ataques do 42Crunch está para para uma API, assim como um WAF(Web Application Firewall) está para suas aplicações Web. Sim, o 42Crunch é um API Firewall, uma categoria de software ainda nova no mercado, mas de suma e extrema importância para quem estiver subindo APIs na rede.

  2. Se você não tiver nenhum API Gateway, o 42Crunch pode servir com este propósito, adicionando OAuth, rate limit, proteção de Dos e ainda outras políticas básicas como IP Whitelist, tamanho de mensagem HTTP e WAF)

  3. A plataforma 42Crunch analisa o contrato da sua API (Swagger, RAML ou OAS – Open API Specification), e antes de ir passar até mesmo para a fase de Mock da sua API, já lhe informa suas potenciais falhas de design e segurança. No relatório gerado, é apontado exatamente o que, onde e a justificativa de mudar ou adaptar algo).

  4. Todos os contratos das APIs nas fases de DEV, QA, Prod já aderente aos seus pipelines DevOps são verificados para garantir a consistência dos mesmos.

  5. Este modelo aplica um modelo de Security by Design , ou seja, a premissa é que segurança é um item inegociável.

  6. Como a solução é centralizada, mesmo que a organização tenha mais de 1 API Manager/Gateway, todos os contratos serão auditados, “scaneados” pela plataforma.

  7. 100% aderente a todas as práticas de DevOps dentro de uma organização.

A Skalena em seu portfólio de soluções tem na 42Crunch uma aliança estratégica para entregar uma plataforma de Microserviços e APIs segura e robusta em todos os aspectos. Como nós utilizamos nossa ferramenta própria de aceleração de desenvolvimento: Mapperidea, todos nossos contratados Swagger e OAS já nascem dentro das recomendações da 42Crunch. Ficou interessando? Vamos bater um papo sobre o assunto, e será um prazer convidar meu amigo e ex-colega da WSO2: Dmitry Sotnikov (VP of Cloud da 42Crunch) para fazer parte da conversa.

#42Crunch #API

12 visualizações0 comentário