Relatório – API: superfície de ataque que nos conecta a todos

Nesta edição do Estado da Internet / Segurança, vamos falar sobre a segurança do aplicativo interfaces de programação (APIs). É um tópico importante - O Gartner previu que “em 2022, os abusos de API passar de um ataque infrequente para o mais frequente vetor, resultando em violações de dados para a web empresarial formulários."

Post baseado em “State of the Internet / Report | API: The Attack Surface That Connects Us All | Akamai”. Clique aqui para conferir o relatório na íntegra

Introdução

Nesta edição do Relatório Akamai’s State of the Internet / Security (SOTI), Volume 7, Edição 4, vamos falar sobre a segurança das Interfaces dos Aplicativos de Programação (API). É um tópico importante – O Gartner previu que “em 2022, os abusos de API passarão de um ataque infrequente para o vetor mais frequente, resultando em violações de dados de formulários web (Enterprise Web Application).”

Em relação ao estado dos ataques online, observamos 18 meses de tráfego de ataque entre janeiro de 2020 e junho de 2021. Em junho de 2021, em um único dia, a Akamai observou 113,8 milhões de ataques. Isso é mais do que três vezes o número de ataques que vimos durante o mesmo período em 2020. Com 6,2 bilhões tentativas registradas, o ataque de SQL Injection (SQLi) permanece em no topo da lista de tendências de ataques na web, seguido por Local File Inclusion (LFI) com 3,3 bilhões e CrossSite Scripting (XSS) com 1,019 bilhão.

Nesta edição do Estado da Internet / Segurança, vamos falar sobre a segurança do aplicativo interfaces de programação (APIs). É um tópico importante - O Gartner previu que “em 2022, os abusos de API passar de um ataque infrequente para o mais frequente vetor, resultando em violações de dados para a web empresarial formulários."

O roubo de credenciais (Credential stuffing) tem sido a fonte de um constante fluxo de ataques até agora este ano, com quedas e picos nos dois primeiros trimestres. Akamai observou dois picos notáveis ​​em janeiro e maio de 2021, quando o número de ataques de roubo de credenciais ultrapassou 1 bilhão. Coincidentemente, os dois picos foram registrados no segundo dia de cada mês; não há indicação sobre por que os criminosos estavam dando o seu melhor e reforçando o ataque neste determinado dia do mês.

Os Estados Unidos foram o principal destino dos ataques web a aplicativos durante este período observado, com quase seis vezes a quantidade de tráfego do que o United Reino, que ficou em segundo lugar. Os Estados Unidos também ocupou o primeiro lugar na lista de fontes de ataques, conquistando o primeiro lugar fora da Rússia, com quase quatro vezes a quantidade de tráfego.

Por fim, o tráfego DDoS permaneceu consistente em 2021 até agora, com picos registrados no início do primeiro trimestre de 2021. Em Janeiro, a Akamai registrou 190 eventos DDoS em um em um único dia, seguido por 183 em um único dia em março.

Segurança das API

Interface com o mundo

Nesta edição do Estado da Internet / Segurança, vamos falar sobre a segurança do aplicativo interfaces de programação (APIs). É um tópico importante - O Gartner previu que “em 2022, os abusos de API passar de um ataque infrequente para o mais frequente vetor, resultando em violações de dados para a web empresarial formulários."

APIs estão por toda parte. Se houver um aplicativo ou serviço disponível na Internet, você pode ter certeza que é suportado, de alguma forma, por uma API. Hoje em dia, APIs impulsionam os aplicativos móveis, a Internet das Coisas (IoT), atendimento ao cliente baseado em nuvem, aplicativos internos, aplicativos de parceiros e muito mais.

Além das questões de segurança apresentadas pelas APIs, há também o aspecto de desempenho/performance a ser considerado. Do ponto de vista da Akamai, existe uma melhoria do desempenho oferecida regularmente por APIs, como no tráfego da API, quando é descarregado dos servidores de origem para a extremidade servidores no lado Content Delivery Network (CDN) das coisas. Esta configuração acelera o acesso e garante a disponibilidade.

Mas há um problema crescente. Organizações que defendem suas APIs com soluções de segurança de rede tradicionais estão tendo sucesso moderado na melhor das hipóteses, isso nos casos onde conseguem ter algum sucesso. Este fato decorre por que os velhos padrões de defesa de rede não podem fazer muito contra essa mudança de superfície de ataque dos modelos de negócios atuais. Na maior parte dos casos, é fato que os mesmos riscos que existem para sites e aplicativos da web serão aplicados a APIs, mas precisam ser tratados separadamente.

APIs expandem muito a superfície de ataque em que as organizações devem se preocupar. Este significa que os defensores e centros de desenvolvimento precisam trabalhar mais para lidar com essas áreas problemáticas. De acordo com o Gartner, “em 2021, 90% dos as aplicações terão mais área de superfície para ataque na forma de APIs expostas em vez da IU, o que era 40% em 2019.

A boa notícia é que os líderes empresariais e as equipes de segurança já estão adotando uma postura de segurança mais forte relacionada às práticas de API. No entanto, existe muito espaço para crescer, e os criminosos certamente aproveitarão as lacunas de segurança da API.

Defendendo o código

O Open Web Application Security Project (OWASP) é uma fundação sem fins lucrativos que trabalha para melhorar a segurança do software. Eles são amplamente conhecido por sua lista OWASP Top 10, que destaca os riscos de segurança mais críticos enfrentados pela web aplicativos, incluindo ataques de injeção, quebrados autenticação, exposição de dados confidenciais, quebrada controles de acesso e configurações incorretas.

A última inclusão do risco das API do OWASP Top 10 (na época em que este relatório foi escrito), foi lançada em 2017 (A1-10: 2017). OWASP também publicou um API Lista dos 10 principais categorias de riscos de segurança (API1-10: 2019) e a sobreposição entre os dois é substancial. Com o tempo, o indústria de segurança desenvolveu uma série de maneiras de rastrear vulnerabilidades de software e mapeá-las da melhor forma guias de prática como as listas OWASP – incluindo Definições de Common Weakness Enumeration (CWE), que são mantidos pelo MITRE.

Considerando o número de vulnerabilidades e ataques relatados divulgados publicamente, é claro que as APIs estão enfrentando os mesmos tipos de problemas que os aplicativos baseados na web vêm enfrentando há anos.

Nesta edição do Estado da Internet / Segurança, vamos falar sobre a segurança do aplicativo interfaces de programação (APIs). É um tópico importante - O Gartner previu que “em 2022, os abusos de API passar de um ataque infrequente para o mais frequente vetor, resultando em violações de dados para a web empresarial formulários."

Por exemplo, vejamos as credenciais embutidas em código.

Em 29 de julho de 2020, a CISCO lançou um patch para dados Center Network Manager (DCNM), depois que foi determinou que as credenciais codificadas no REST API pode permitir um invasor remoto não autenticado a capacidade de contornar a autenticação e executar comandos com privilégios administrativos. Esse vulnerabilidade, CWE-798 (credenciais embutidas em código), pode estar diretamente vinculada a API2: 2019 e A2: 2017 via OWASP, sob autenticação quebrada.

As APIs devem ser versáteis, permitindo facilidade de uso e acesso tanto para o negócio quanto para o usuário final. A maioria das organizações usa APIs de alguma forma, interna ou externamente, para clientes ou negócios parceiros, ou uma mistura. A principal função e expectativa para desenvolvimento e implantação de API é integração e acesso a dados, mas tem havido tremendo crescimento nos últimos anos no uso de APIs para serviços e linhas de negócios digitais (por exemplo, Checkr,
Twilio, Scale, Segment
).

Essa versatilidade, no entanto, é onde as coisas começam a ir fora dos trilhos, porque às vezes a compensação entre facilidade de uso e segurança é complicado gerenciar.

Um bom exemplo de como é difícil equilibrar a usabilidade e segurança foi a divulgação de segurança da API do Twitter de Fevereiro de 2020. Em uma notificação pública, Twitter revelou que um grande número de contas falsas foram explorando sua API e combinando nomes de usuário com números de telefone . A função API era para torná-lo mais fácil para os usuários encontrarem amigos, mas atores mal-intencionados exploraran esse recurso para conseguirem dados mais confiáveis. Esse incidente pode ser rastreado/acompanhado sob CWE-284, e A2: 2017 / API5: 2019 via OWASP.

Outro exemplo de onde a compensação entre disponibilidade e segurança podem ser difíceis de gerenciar foi divulgado em julho de 2021, pelo pesquisador Muhammad Sholikhin. Ele foi capaz de identificar membros de grupos fechados no Facebook, usando o API do gigante das mídias sociais. Supostamente, a adesão de uma pessoa a um grupo fechado deveria ser confidencial, então o Facebook corrigiu a falha e pagou ao pesquisador um recompensa por seu trabalho.

GitLab, um gerenciador de repositório Git popular, tinha problemas semelhantes aos vividos pelo Facebook. Ele foi notificado por meio de seu programa de recompensa de bug que o pesquisador Riccardo Padovani descobriu que era possível visualizar projetos de grupos privados por meio da API. No final das contas, o GitLab pagou uma recompensa pela divulgação e corrigiu o problema.

Conclusão

Segurança do aplicativo, seja no lado da API ou no lado do desenvolvimento de aplicativos da web, é uma demanda complexa de recursos, funções e negócios. Encontrar o equilíbrio neste reino não é tão fácil como se poderia pensar.

Como mostram os dados do relatório da AKAMAI, os invasores estão claramente do lado de fora à espreita, desenvolvendo novas técnicas e métodos de ataque – e a funcionalidade da API é uma das seus alvos principais. Enquanto as equipes estão se movendo para ter segurança embutida no desenvolvimento e ciclo de vida, o processo é lento. Isso deixa organizações numa situação tênue e as força, em alguns casos, para lançar um código com vulnerabilidade conhecida para a mercado, porque o uso comercial disse que o código é crítico.

O relatório apresenta uma lista de boas práticas recomendadas para a segurança em desemvolvimento de aplicativos e API em seu Anexo A. Fica claro que um treinamento mais contínuo é necessário para que seja bem efetivo e eficaz, na implementação das mesmas, e só então as equipes de desenvolvimento poderão entregar e cumprir a expectativa de segurança. No Anexo, o relatório apresenta as metodologias utilizadas para levantamento dos dados em diversos ataques, como: ataques a aplicações web, roubo de credenciais e DDoS, que podem auxiliar a compreender melhor o contexto e a aprender mais sobre o que realmente está acontecendo na escuridão em torno das APIs. Boa leitura!

Fonte: www.akamai.com

Posts relacionados: Relatório dos países que mais sofreram com vazamentos de dados em 2020 / Relatório sobre o prejuízo de um vazamento de dados – 2020 e Relatório de Inteligência Global CSO: O estado da Segurança Cibernética em 2021