Escolar Documentos
Profissional Documentos
Cultura Documentos
Como a Akamai
ajuda a mitigar
as dez principais
vulnerabilidades
de segurança de
APIs do OWASP
Introdução Em 2017, o OWASP incluiu as APIs insuficientemente
protegidas como parte de seu OWASP Top 10.
Depois, em 2019, o projeto publicou o API Security
Top 10 com uma lista dos tipos mais comuns de
As APIs (interfaces de programação de aplicações)
vulnerabilidades de API. O objetivo do OWASP
atuais proporcionam uma integração flexível, rápida
Top 10 e do API Security Top 10 é aumentar a
e econômica entre praticamente qualquer software,
conscientização sobre as vulnerabilidades comuns
dispositivo ou fonte de dados. As APIs atendem a
de segurança que os desenvolvedores devem
uma ampla variedade de funcionalidades e atuam
considerar, promover essa conscientização em
como uma base para inovação e transformação
várias práticas de desenvolvimento e ajudar a
digital. As ofertas móveis, de SaaS e de ambientes
promover uma cultura de práticas seguras de
híbridos multinuvem são apenas alguns exemplos
desenvolvimento. Não devemos tratar essas listas
da importância subjacente das APIs. As APIs também
de Top 10 como simples checklists de vetores de
se tornaram o padrão de fato para desenvolver e
ataque que podem ser bloqueados por uma ou
conectar aplicações modernas, especialmente com
qualquer combinação de soluções de WAAP
a crescente mudança para arquiteturas baseadas
(proteção de APIs e aplicações Web), gateways
em microsserviços. Os microsserviços pequenos e
de API, gerenciamento de APIs e/ou ferramentas
independentes são integrados em aplicações mais
especializadas de API.
complexas usando APIs. Essas APIs são importantes
porque permitem a interação com o microsserviço A mitigação de riscos relacionados às APIs requer
em si. De simples fluxos internos entre as partes de a compreensão não apenas das APIs em si, mas
uma aplicação de microsserviço a grandes também o papel que os fornecedores de segurança
transações B2B que equivalem a milhões de reais, e a sua organização desempenham para protegê-
é importante proteger as APIs devidamente porque las. Algumas áreas de risco só podem ser
elas atuam como a ligação digital que conecta totalmente abordadas pelos desenvolvedores, mas
diferentes sistemas e ecossistemas de parceiros, os fornecedores de segurança podem ajudar em
proporcionam experiências digitais e em vários áreas específicas. Para abordar o API Security Top
canais para os clientes e são vulneráveis a 10, é necessário compreender onde e como (e
praticamente todos os mesmos riscos relacionados quanto) os fornecedores de segurança podem
às aplicações Web clássicas. ajudar a ampliar as suas práticas existentes de
desenvolvimento.
Nossa compreensão tradicional das APIs (por
exemplo, APIs de terceiros ou entre computadores)
pode e deve ser expandida para incluir serviços de Nossa compreensão tradicional
aplicações Web e móveis como parte da arquitetura das APIs pode e deve ser
baseada em microsserviços. Em outras palavras,
uma solicitação da Web dentro da arquitetura de
expandida para incluir serviços de
microsserviços é uma API que atua como uma em aplicações Web e móveis como
uma série de chamadas para vários microsserviços. parte da arquitetura baseada em
Cada uma dessas chamadas pode acabar abrindo
brechas de segurança e criar riscos de privacidade microsserviços.
que podem variar de validação insatisfatória dos
dados, erros de configuração e falhas de Veja a seguir uma descrição das áreas em que a
implementação até a falta de integração entre os Akamai pode ajudar em suas iniciativas com nossas
componentes de segurança. É importante observar soluções de segurança de edge, nossos serviços
isso ao abordar as vulnerabilidades definidas no gerenciados e nossa plataforma inteligente de edge.
OWASP (Open Web Application Security Project)
API Security Top 10.
akamai.com | 2
API1:2019 Autorização API2:2019 Autenticação
em nível de objeto de usuário corrompida
corrompida
Definição do OWASP: geralmente, os mecanismos
de autenticação são implementados incorretamente,
Definição do OWASP: as APIs tendem a expor o que permite que os invasores comprometam
pontos de extremidade que lidam com tokens de autenticação ou explorem falhas de
identificadores de objeto, o que cria um grande implementação para assumir as identidades de
problema de controle de acesso em nível de outros usuários de modo temporário ou
superfície de ataque. As verificações de autorização permanente. O comprometimento da capacidade
em nível de objeto devem ser consideradas em de um sistema de identificar o cliente/usuário
todas as funções que acessam uma fonte de dados compromete a segurança da API em geral.
usando a entrada do usuário.
akamai.com | 3
API3:2019 Exposição
de dados excessivos
akamai.com | 4
API4:2019 Falta de recursos API5:2019 Autorização em
e limitação de taxa nível de função corrompida
Definição do OWASP: muitas vezes, as APIs não Definição do OWASP: as políticas complexas de
impõem restrições quanto ao tamanho ou ao número controle de acesso com diferentes hierarquias,
de recursos que podem ser solicitados pelo cliente/ grupos e funções, além de uma separação confusa
usuário. Isso pode não só afetar o desempenho do entre as funções administrativas e regulares, tendem
servidor de APIs, causando uma DoS (negação de a causar falhas de autorização. Ao explorar esses
serviço), como também abrir espaço para falhas de problemas, os invasores têm acesso aos recursos
autenticação, como força bruta. e/ou funções administrativas de outros usuários.
akamai.com | 5
API6:2019
Atribuição em massa
akamai.com | 6
API7:2019 Configuração • O App & API Protector com Advanced Security
Management pode ser usado para inspecionar
incorreta de segurança a resposta HTTP das aplicações Web, a fim de
detectar dados confidenciais que saem de uma
aplicação Web, como vazamentos de nome de
Definição do OWASP: geralmente, a configuração arquivo, diretório e códigos/mensagens de erro
incorreta da segurança é resultado de configurações de SQL.
padrão desprotegidas, configurações incompletas
• O App & API Protector oferece regras
ou específicas, armazenamento em nuvem aberta,
personalizadas que podem ser usadas para
cabeçalhos HTTP mal configurados, métodos HTTP
detectar a presença de informações de
desnecessários, CORS (Cross-Origin Resource
identificação pessoal, como números de CPF,
Sharing) permissivo e mensagens de erro
e para corrigir as APIs virtualmente.
detalhadas que contêm informações confidenciais.
• O controle detalhado das políticas de CORS com
funcionalidade completa de CORS pode ser
Como a Akamai pode ajudar? configurado e aplicado na edge com recursos
Por definição, a configuração incorreta da de gateway de API.
segurança abrange vários aspectos da segurança
de aplicações e APIs e requer que as organizações • O App & API Protector oferece a opção de ações
configurem devidamente os controles de de resposta personalizadas na edge, nas quais os
segurança. Embora não seja uma substituta para a clientes podem definir e apresentar respostas
configuração adequada, a Akamai pode oferecer com base em HTML, XML, JSON ou outros tipos
proteção contra vazamento de dados, corrigir para enganar os invasores que procuram dados
cabeçalhos mal configurados, restringir métodos confidenciais em mensagens de erro.
desnecessários e muito mais.
• O App & API Protector pode adicionar e remover
cabeçalhos HTTP para corrigir configurações
incorretas e aplicar práticas recomendadas de
segurança.
akamai.com | 7
API8:2019 Injeção
akamai.com | 8
API9:2019 Gerenciamento • O App & API Protector detecta automaticamente
as APIs desconhecidas (incluindo seus pontos
inadequado de ativos de extremidade, recursos, características e
definições) para permitir que as equipes de
segurança fiquem a par das mudanças das
Definição do OWASP: as APIs tendem a expor mais definições e detectem APIs preexistentes e/ou
pontos de extremidade que as aplicações Web preteridas.
tradicionais, o que torna extremamente importante
ter uma documentação adequada e atualizada. Os • O App & API Protector oferece regras
hosts adequados e o inventário das versões de API personalizadas que podem ser usadas para
implantadas também desempenham um papel aplicar patches virtualmente e abordar as
importante na redução de problemas como versões vulnerabilidades expostas por definições de
preteridas de API e pontos de extremidade de API que passam por constantes mudanças.
depuração expostos.
• Os recursos de gateway de API podem ajudar as
versões de APIs a gerenciar adequadamente os
Como a Akamai pode ajudar? ciclos de vida delas.
As soluções de segurança de API podem proteger
as APIs conhecidas, mas as APIs desconhecidas As soluções de segurança de
(incluindo APIs preteridas, preexistentes e/ou
desatualizadas) podem ficar sem patches e API podem proteger as APIs
vulneráveis a ataques. Os invasores podem acabar conhecidas, mas as APIs
tendo acesso a dados confidenciais ou, até mesmo,
desconhecidas (incluindo APIs
ao servidor por meio de APIs desconhecidas que
estão conectadas ao mesmo banco de dados. preteridas, preexistentes e/ou
A Akamai pode detectar as APIs e criar um perfil desatualizadas) podem ficar sem
para elas a fim de mitigar esse risco.
patches e vulneráveis a ataques.
akamai.com | 9
API10:2019 Registro e A Akamai oferece telemetria
monitoramento insuficientes detalhada dos ataques e análise
de eventos de segurança com
nosso painel de análise de
Definição do OWASP: o monitoramento e o registro
insuficientes, juntamente com a ausência ou a segurança na Web.
ineficácia da integração com a resposta a incidentes,
permitem que os invasores ataquem ainda mais
sistemas, mantenham a persistência e adaptem-se a
mais sistemas para adulterá-los ou extrair ou destruir
dados. A maioria dos estudos de violações mostra
que o tempo para detectar uma violação é superior
a 200 dias e que, geralmente, essas violações são
detectadas por partes externas e não pelo
monitoramento ou pelos processos internos.
akamai.com | 10
Conclusão de solicitações de bot e trilhões de solicitações de
API todos os dias. As soluções de segurança de
aplicações Web e APIs da Akamai ajudarão a
proteger sua organização contra as formas mais
As organizações e seus fornecedores de segurança avançadas de ataques DDoS, ataques com base em
devem trabalhar em conjunto, alinhando pessoas, API e a aplicações Web.
processos e tecnologias para instituir uma defesa
sólida contra os riscos de segurança descritos no Para saber mais sobre o portfólio de segurança de
OWASP API Security Top 10. A Akamai oferece edge da Akamai, acesse nosso website. Se quiser
soluções de segurança líderes do setor, discutir e explorar com mais detalhes como podemos
especialistas altamente experientes e uma fazer uma parceria para desenvolver a melhor
plataforma inteligente de edge que obtém insights proteção para sua empresa, entre em contato com
de milhões de ataques a aplicações Web, bilhões seu representante de vendas da Akamai hoje mesmo.
A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. A Akamai Intelligent Edge Platform engloba
tudo, desde a empresa até a nuvem, para que os clientes e suas empresas possam ser rápidos, inteligentes e estar protegidos.
As principais marcas mundiais contam com a Akamai para ajudá-las a obter vantagem competitiva por meio de soluções ágeis que
estendem o poder de suas arquiteturas multinuvem. A Akamai mantém as decisões, as aplicações e as experiências mais próximas
dos usuários, e os ataques e as ameaças cada vez mais distantes. O portfólio de soluções Edge Security, desempenho na Web e
em dispositivos móveis, acesso corporativo e entrega de vídeos da Akamai conta com um excepcional atendimento ao cliente e
monitoramento 24 horas por dia, sete dias por semana, durante o ano todo. Para saber por que as principais marcas mundiais confiam
na Akamai, acesse www.akamai.com, blogs.akamai.com ou siga @Akamai no Twitter. Nossas informações de contato globais podem
ser encontradas em www.akamai.com/locations. Publicado em 08/21.
akamai.com | 11