O que é segurança de API?

Uma forte postura de segurança de API ajuda a garantir que somente usuários e aplicações autorizados acessem as APIs. Funciona como um subconjunto de segurança na web, mas com foco específico nas APIs, cada vez mais vitais para o gerenciamento de TI da empresa.¹

As APIs conectam aplicações, serviços, sistemas e bancos de dados em todo o mundo digital. Elas possibilitam que as empresas integrem bancos de dados locais e baseados em nuvem, conectem sistemas legados principais a plataformas modernas e conectem implementações em diferentes ambientes. Permitem também que as organizações ofereçam serviços a desenvolvedores e parceiros externos e facilitem experiências de usuário mais conectadas.

Os desenvolvedores podem, por exemplo, conectar novos aplicativos e serviços a plataformas de gerenciamento de relacionamento com o cliente (CRM), planejamento de recursos corporativos (ERP) e outros sistemas. Geralmente esses sistemas são implementados em ambientes diferentes e dependem de APIs para a sincronização de dados.

A proliferação de ferramentas de pouco código e sem código também facilitou para equipes de desenvolvimento experientes e pessoal fora da área de TI a criação de aplicativos, o acesso a APIs e a execução de tarefas de gerenciamento de API. Mas à medida que as APIs proliferam, o mesmo acontece com os problemas de segurança que geralmente as acompanham. Quase todas as organizações (99%) enfrentaram problemas de segurança relacionados a APIs no último ano, com mais de um terço (34%) dos incidentes de segurança expondo dados confidenciais ou privados.²

APIs internas e externas e endpoints de APIs podem ser comprometidos, mas a natureza pública das APIs externas as torna mais vulneráveis a agentes mal-intencionados e vários tipos de ataques de API. As práticas de segurança de API vigilantes ajudam as empresas a proteger os endpoints expostos e proteger dados e redes corporativos.

As APIs estão em toda parte. As empresas de porte médio tiveram cerca de 1,5 bilhão de chamadas de API em 2023, um ano em que as chamadas de API representaram 71% do tráfego total da Internet.³ E quase todas as aplicações utilizam pelo menos uma API. Dessa forma, as APIs são elementos fundamentais das redes de computadores modernas, da computação em nuvem e das implementações de SaaS.

No entanto, sua natureza interconectada cria desafios de segurança únicos que as medidas de segurança tradicionais não conseguem resolver. As APIs são frequentemente usadas em configurações de nuvem, locais e configurações híbridas e cada ambiente tem suas próprias necessidades de segurança distintas. Controles de segurança que funcionam em um ambiente podem não funcionar em outro, tornando a aplicação unificada um desafio constante.

As APIs também servem como tecido de ligação entre microsserviços, cada um com seu próprio perfil de segurança. Uma única fraqueza em uma API pode colocar um sistema inteiro em risco. Por exemplo, no setor de energia, medidas de segurança de API protegem a troca de dados entre medidores, sistemas de monitoramento e plataformas de manutenção, ajudando a garantir a integridade dos programas de manutenção preventiva.

Além disso, a maioria das aplicações utiliza vários endpoints de API e cada endpoint apresenta um possível ponto de entrada para invasores. Os endpoints que processam informações confidenciais (dados médicos ou financeiros, por exemplo) são vetores de ataque particularmente lucrativos. Os endpoints da API expandem consideravelmente a superfície de ataque e, sem um monitoramento cuidadoso, podem deixar os dados privados vulneráveis a agentes mal-intencionados.

E como as APIs oferecem suporte ao desenvolvimento ágil e aos pipelines de CI/CD, geralmente são criadas e implementadas rapidamente. Se a segurança não for perfeitamente integrada aos fluxos de trabalho de DevOps, as avaliações e os testes de segurança poderão ficar para trás do desenvolvimento. Protocolos abrangentes de segurança de API podem minimizar e mitigar esses problemas.

As APIs seguras impedem a manipulação de dados durante a transmissão e o processamento e ajudam a assegurar que somente usuários autenticados e autorizados possam acessar funções e dados importantes. Nos complexos ambientes de computação atuais, a segurança da API é uma ferramenta indispensável para criar interações de dados confiáveis, serviços de alta disponibilidade e alta confiança do consumidor nos ecossistemas digitais.

Endpoints de API não protegidos podem permitir que atores mal-intencionados obtenham acesso não autorizado a dados confidenciais e interrompam as operações de serviço, com consequências possivelmente calamitosas. As ameaças comuns são:

• Ataques baseados em autenticação— em que hackers tentam adivinhar ou roubar senhas de usuários ou usar mecanismos de autenticação fracos para obter acesso aos servidores de API. Atualmente, a maioria (95%) dos ataques cibernéticos vem de usuários autenticados.²

• Ataques intermediários— em que um agente mal-intencionado rouba ou modifica dados (credenciais ou informações de pagamento, por exemplo) interceptando solicitações ou respostas de API.

• Injeções de código e ataques de injeção—em que um hacker transmite um script prejudicial (para inserir informações falsas, excluir ou revelar dados ou interromper a funcionalidade do aplicativo) por meio de uma solicitação de API. Esses scripts exibem pontos fracos nos interpretadores de API que leem e convertem dados.

• Configuração incorreta da segurança— quando configurações padrão inadequadas, compartilhamento de recursos entre origens (CORS) excessivamente permissivo ou cabeçalhos HTTP incorretos expõem informações confidenciais do usuário ou detalhes do sistema.

• Ataque de negação de serviço (DoS)— esses ataques enviam dezenas de solicitações de API para travar ou reduzir a velocidade de um servidor. Os ataques DoS podem muitas vezes vir de múltiplos atacantes simultaneamente, em algo conhecido como um ataque distributed denial-of-service (DDoS).

• Ataques de broken object-level authorization (BOLA)—onde os criminosos cibernéticos manipulam identificadores de objeto nos endpoints da API para ampliar a superfície de ataque e obter acesso não autorizado a dados de usuários. Os ataques BOLA são especialmente comuns porque a implementação de verificações de autorização adequadas no nível do objeto pode ser difícil e demorada.

A segurança de API verifica que medidas de segurança essenciais (como controles de acesso de usuário, protocolos de criptografia e mecanismos de autenticação) estão em vigor para impedir que os invasores façam a exploração de APIs. Os testes de segurança frequentemente envolvem a tentativa ativa de exploração de vulnerabilidades em uma aplicação em execução ou a varredura do código-fonte para identificar falhas de segurança conhecidas. As equipes de segurança enviam solicitações variadas aos endpoints de API e verificam as respostas em busca de fraquezas, comportamentos inesperados e bugs de código.

Dependendo do tipo de vulnerabilidade que estão testando, as equipes podem optar por realizar testes manuais, contar com ferramentas automáticas de teste ou usar uma combinação de ambos.

Por exemplo, os engenheiros podem usar o teste de penetração para simular ataques ao mundo real e identificar problemas de segurança. Se uma vulnerabilidade de segurança surgir somente quando uma aplicação estiver em execução, eles poderão executar uma ferramenta de Teste de Segurança de Aplicação Dinâmica (DAST), capaz de fazer testes de segurança em sistemas ativos. Se quiserem verificar falhas ou pontos fracos no código-fonte, poderão usar uma ferramenta de teste de segurança de aplicação estáticos (SAST).

Tradicionalmente, o processo de teste de segurança dependia de testes de penetração ou varredura manual realizada por equipes de segurança empresarial. Hoje, as organizações muitas vezes integram testes automáticos de segurança de API diretamente aos pipelines de DevOps. Independentemente da abordagem, os testes de Segurança de API vigilantes permitem que os desenvolvedores identifiquem proativamente os riscos de segurança e lidar com eles antes que exponham os dados corporativos ou afetem os clientes.

Tanto a Segurança de API quanto a segurança de aplicação são desenhadas para proteger dados, mas abordam a segurança de dados de maneiras diferentes.

A segurança de API é um subconjunto da segurança de aplicação que prioriza a proteção de endpoint e o gerenciamento do acesso com permissões refinadas para que toda troca de dados seja protegida. A segurança da aplicação adota uma abordagem mais abrangente, protegendo toda a pilha de aplicação — da interface do usuário ao armazenamento de dados e sistemas de back-end — para ajudar a proteger todo o ambiente.

A segurança de API foi desenvolvida para oferecer flexibilidade e velocidade. Utiliza monitoramento em tempo real e detecção de anomalias para identificar e responder rapidamente a ameaças em cada chamada de API. A segurança de aplicações, por outro lado, usa uma estratégia mais estrutural. Emprega técnicas como análise de código estático e práticas seguras de codificação para lidar com vulnerabilidades em toda a aplicação.

Para autenticação, as APIs normalmente utilizam mecanismos baseados em token, como OAuth e JSON Web Token (JWT), que disponibilizam acesso preciso e de curta duração aos recursos. A segurança de aplicação, por sua vez, implementa controles mais amplos, como controle de acesso baseado em função (RBAC) para gerenciar permissões de usuário em várias camadas do sistema.

A segurança do aplicativo oferece proteção contra uma ampla gama de ameaças, e a segurança de API oferece proteção detalhada contra ameaças que visam endpoint exposto. Portanto as equipes precisam das duas ferramentas para alcançar a segurança de dados abrangente. Integrar medidas de segurança de API em uma estrutura de segurança de aplicação mais ampla pode ajudar as empresas a criar um ambiente de software mais seguro e resiliente e manter a confiança de usuários e parceiros.

Em uma economia digital dinâmica, as APIs são essenciais para a agilidade dos negócios, mas sua natureza aberta representa riscos consideráveis para segurança de dados. As violações de segurança de API levaram a grandes vazamentos de dados, até mesmo para grandes corporações de boa reputação como John Deere, Experian e Peloton.⁴

E em um ambiente tecnológico tão global, as vulnerabilidades de segurança podem ameaçar todos os principais provedores de serviços, independentemente do setor ou da localização geográfica. Por exemplo, um ataque de API em 2022 à empresa de telecomunicações australiana Optus expôs nomes, números de telefone, detalhes do passaporte e informações de motivação de quase 10 milhões de clientes.⁵  Esses incidentes ressaltam a importância da proteção da API.

Um aumento no uso indevido de APIs também acelerou o desenvolvimento de ferramentas e estratégias abrangentes de segurança de API. A implementação de protocolos de segurança de API rigorosos protege dados, aplicativos e serviços que os endpoints de API disponibilizam e protege sua disponibilidade para usuários legítimos.

No entanto, a segurança de API não se resume à proteção de endpoints. Também prioriza a segurança das interações de rede, como transmissões de dados, solicitações de usuários e comunicações entre aplicativos ao longo do ciclo de vida da API. Algumas das soluções de segurança de API mais comuns para proteger infraestruturas de TI são:

Autenticação é o processo de verificação da identidade de um usuário, sistema ou processo. No contexto das APIs, refere-se aos tokens e protocolos de autenticação do usuário, como OAuth 2.0, chaves de API e JSON web Token (especificações JWT), que garantem que o solicitante seja quem afirma ser.

A autorização é o processo de verificação do que um usuário autenticado tem acesso. Quando um usuário é autenticado, os controles de acesso baseados em função podem limitar estritamente o acesso do usuário aos recursos de que ele precisa ou solicita.

Com a criptografia, o texto simples e outros tipos de dados são convertidos de uma forma legível para uma versão codificada que pode ser decodificada apenas pelos usuários com uma chave de decodificação. As tecnologias de criptografia (segurança da camada de transporte [TLS], conexão SSL e protocolos de criptografia TLS, por exemplo) ajudam as equipes de segurança a garantir que agentes mal-intencionados e usuários não autorizados possam interceptar ou alterar o tráfego de API.

Os protocolos de validação de entrada protegem as APIs contra dados mal-intencionados, como ataques de injeção de SQL e scripts entre sites, garantindo que as entradas atendam aos critérios de comprimento, tipo, formato e intervalo antes de serem processadas. O uso de firewalls de aplicações na web (WAFs) ou validação de esquema XML e JSON pode ajudar as equipes de segurança a automatizar processos de validação, analisando preventivamente as solicitações de entrada e bloqueando o tráfego malicioso antes que ele chegue ao servidor.

A limitação de taxa protege os recursos das APIs contra ataques de força bruta e ataques de negação de serviço (DoS), restringindo o número de chamadas que um usuário ou endereço IP pode fazer em um determinado período. Os limites de taxa garantem que todas as solicitações de API sejam processadas imediatamente e que nenhum usuário possa sobrecarregar o sistema com solicitações prejudiciais.

Assim como o limitação de taxa (rate limiting), o throttling restringe o número de chamadas de API que um sistema recebe. No entanto, em vez de operar no nível do usuário-cliente, o throttling funciona no nível do servidor-rede. Os limites e cotas de limitação ajudam a proteger a largura de banda de back-end da API, limitando o número de chamadas e mensagens que uma API pode receber por segundo.

Os cabeçalhos de segurança podem ser particularmente eficazes na prevenção de ataques de clickjacking , em que agentes mal-intencionados disfarçam hiperlinks maliciosos sob conteúdo útil para induzir os usuários a interagir com sites que não pretendiam acessar.

O cabeçalho “content-security-policy”, por exemplo, informa ao navegador quais recursos pode solicitar ao servidor. O cabeçalho “x-content-type-option” impede que os navegadores tentem detectar tipos de conteúdo MIME e o cabeçalho “strict-transport-security” impõe conexões seguras (HTTPS sobre HTTP) ao servidor.

O API Gateway disponibiliza uma interface centralizada para acesso à API, atuando como um único ponto de entrada para todas as solicitações de API que um sistema recebe. Eles ajudam as organizações a gerenciar o acesso à API e adicionar uma camada adicional de segurança de rede, especialmente para APIs abertas. Um gateway de API pode padronizar as interações de API e disponibilizar recursos como caching, análise de dados, composição de API, limitação de taxa, criptografia, registro e controle de acesso.

No entanto, um API Gateway também apresenta um ponto único de falha e introduz complexidade adicional na arquitetura.

Manter registros de auditoria abrangentes e atualizados (e revisá-los com frequência) ajuda as organizações a rastrear o acesso e o uso de dados e a manter registros de cada solicitação de API. Dada a complexidade dos ecossistemas de API, manter-se atualizado sobre a atividade das APIs pode ser trabalhoso. No entanto, os procedimentos de auditoria e registro podem poupar tempo quando as equipes precisam refazer seus passos após uma violação de dados ou falha de conformidade.

O tratamento proativo de erros em ambientes de API pode evitar que cibercriminosos revelem informações confidenciais sobre os processos da API. O ideal é que qualquer erro de API retorne códigos de status HTTP que indiquem amplamente a natureza do erro, apresentando contexto suficiente para que as equipes resolvam o problema sem arriscar a exposição excessiva de dados.

Assim como em qualquer aplicação ou sistema de software, o monitoramento e a manutenção em tempo real são essenciais para manter a segurança de API. É importante ficar atento a qualquer atividade de rede incomum e atualizar as APIs com os patches de segurança mais recentes, correções e novas funcionalidades.

As organizações também devem adotar padrões de segurança oportunos como as recomendações de segurança de API do Open web Application Security Project (OWASP). A lista Top 10 de Segurança de API do OWASP, por exemplo, oferece uma estrutura para entender e mitigar as ameaças de segurança de API mais críticas e comuns (como autenticação comprometida, atribuição em massa e falsificação de solicitação do lado do servidor).

Cada nova versão do software de API vem com atualizações de segurança e correções de bugs que preenchem as lacunas de segurança de versões anteriores. Mas sem práticas adequadas de versionamento, os usuários podem acidentalmente (ou intencionalmente) implementar uma versão desatualizada de API e colocar dados sensíveis em risco.

Práticas atentas de versionamento e documentação permitem que as empresas acelerem o desenvolvimento de API. Isso os ajuda a eliminar versões mais antigas da API sem interromper os serviços, direcionando os usuários para iterações mais novas e seguras.

Por exemplo, se uma equipe descobrir uma falha de segurança na v1 de uma API, ela pode corrigi-la na v2. E com versionamento, as equipes de segurança podem incentivar os usuários a migrar da v1 para a v2 no seu próprio ritmo, deixando claro na documentação da versão que a v1 possui uma vulnerabilidade de segurança conhecida.

O teste de segurança exige que os desenvolvedores enviem solicitações padrão usando um cliente API para avaliar a qualidade e a exatidão das respostas do sistema. A condução de testes de segurança regulares para identificar lacunas de segurança ajuda as equipes a corrigir vulnerabilidades de API antes que invasores tenham a chance de explorá-las.

Zero-trust práticas de segurança de zero trust operam com base no princípio de que nenhum tráfego de rede, vindo de dentro ou de fora da organização, deve ser automaticamente confiável. Presume-se que tanto o usuário quanto o dispositivo não sejam confiáveis por padrão. Portanto, antes que qualquer tráfego possa entrar ou migrar pela rede, as credenciais do usuário devem ser completamente autenticadas.

Com a abordagem zero trust, as empresas podem proteger seus dados e APIs para que somente indivíduos autorizados tenham acesso, mesmo que um invasor tente se passar por um usuário legítimo em um dispositivo previamente aprovado.

Proteger as APIs é crítico para a saúde da infraestrutura de TI e a segurança de dados. A Segurança de API deve continuar como área de foco principal nos próximos anos, especialmente porque o uso e a distribuição de APIs desafiam as soluções de API management existentes.

Por exemplo, a proliferação de APIs de código aberto e no-code está aumentando os riscos de segurança representados pelas APIs ocultas, que operam fora da supervisão oficial. Para combater esse problema, as equipes de segurança estão adotando práticas mais completas de inventário de API, documentação de API, governança de API e autenticação multifator para proteger os dados contra ameaças emergentes de API.

As empresas voltadas para a segurança também estão investindo em:

Fortificar API Gateways tornou-se uma prioridade cada vez maior para os desenvolvedores de software.⁶ Ao contrário dos endpoints, que são pontos de interação específicos dentro de uma API, os API Gateways são pontos de acesso centralizados para todas as solicitações de API. Oferecem serviços de tradução de protocolos para vários protocolos, linguagens e estilos de API, incluindo GraphQL, APIs REST e APIs SOAP, e roteiam chamadas para serviços de back-end.

Os gateways de API modernos oferecem funcionalidades dinâmicas de limitação de taxa e detecção de ameaças, criando uma camada adicional de Segurança de API para as implementações atuais de aplicativos nativos da nuvem e os ambientes de TI orientados por microsserviços.

As empresas que pretendem acompanhar o ritmo da inovação digital também precisarão adotar uma abordagem de segurança de API que incorpore tecnologias como inteligência artificial (IA) e aprendizado de máquina (ML). As funcionalidades de segurança impulsionadas por IA e ML podem identificar ameaças de forma proativa, captando padrões de dados anômalos nas chamadas de API. Essas ferramentas também podem adaptar os protocolos de detecção e resposta de ameaças à medida que as ameaças evoluem.

Por exemplo, medidas de segurança aprimoradas por IA podem implementar autenticação adaptativa, onde ferramentas de segurança ajustam automaticamente o escrutínio de dados com base no contexto e na biometria comportamental.

As empresas estão adotando cada vez mais arquiteturas zero trust, que priorizam práticas robustas de autorização e autenticação para qualquer dispositivo ou usuário que tente interagir com APIs. Os princípios de segurança de API de confiança zero são especialmente úteis para proteger APIs e endpoints vulneráveis e voltados para o público.⁷

A IA agêntica eleva os recursos autônomos da Tecnologia de IA ao próximo nível. Utiliza grandes modelos de linguagem (LLMs), processamento de linguagem natural (NLP) e ML para executar tarefas autônomas em nome de usuários humanos e outros sistemas. No entanto, os agentes de IA dependem de APIs para acessar dados, portanto a segurança da API e a segurança da IA agêntica estão inextricavelmente vinculadas.

Como os desenvolvedores continuam adotando a inovação de IA agêntica, eles terão que lidar com os riscos de segurança que os Agentes de IA criam. Consequentemente, muitas empresas estão capacitando agentes de IA com funcionalidades avançadas de monitoramento, análise e bloqueio para proteger contra ataques cibernéticos tanto os agentes quanto as APIs com as quais eles interagem.

Parcerias estratégicas com fornecedores e especialistas em segurança de API também serão vitais para alcançar uma proteção abrangente de API no futuro. As colaborações estratégicas podem ajudar as empresas a abranger todos os estágios do processo de segurança de API, desde a descoberta de API e detecção de ameaças até a análise de tempo de execução e resposta a incidentes.

As parcerias de compartilhamento de dados priorizam a troca de dados de segurança entre plataformas (compartilhando detalhes de vulnerabilidades e inteligência de ameaças, por exemplo). Essa troca ajuda a consolidar informações para que as empresas tenham uma visão clara e unificada de sua postura de segurança de API. E as parcerias de aliança permitem que entidades de segurança individuais mesclem pontos fortes exclusivos e tecnologias complementares para otimizar o gerenciamento de segurança e incentivar o desenvolvimento colaborativo. Essas parcerias estratégicas podem ajudar as empresas a se beneficiarem da experiência compartilhada em segurança e a oferecerem aos usuários serviços digitais mais resilientes.

Como as APIs continuam liberando novas oportunidades de networking, os riscos associados a elas evoluirão (e talvez até mais rápido). A adoção de uma abordagem proativa para a segurança de APIs pode ajudar as empresas a protegerem dados confidenciais e desenvolverem estratégias de segurança ágeis que fortaleçam sua postura de segurança à medida que o cenário muda.