Ataques em APIs são subdetectados e subnotificados
A Akamai divulgou uma pesquisa sobre o cenário de ameaças em evolução para interfaces de programação de aplicativos (APIs), que, de acordo com o Gartner, será o vetor de ataque online mais frequente em 2022.
As APIs são inerentemente projetadas para serem canais rápidos e fáceis entre diferentes plataformas. Embora essa prioridade na conveniência e na experiência do usuário faça com que as APIs sejam altamente essenciais para muitas empresas, também as torna alvos atraentes para os cibercriminosos.
Preocupações com a segurança da API muitas vezes não são abordadas
O relatório destaca os padrões frustrantes de vulnerabilidades de API, apesar das melhorias que foram feitas nos Ciclos de Vida de Desenvolvimento de Software (SDLCs) e nas ferramentas de teste. Freqüentemente, a segurança da API é relegada a um segundo plano na pressa de trazê-los ao mercado, com muitas organizações contando com soluções de segurança de rede tradicionais que não são projetadas para proteger a ampla superfície de ataque que as APIs podem apresentar.
“De falhas de autenticação e injeção quebradas a configurações incorretas simples, existem inúmeras preocupações de segurança de API para qualquer pessoa que construa um aplicativo conectado à Internet”, disse Steve Ragan , pesquisador de segurança da Akamai e autor do relatório State of the Internet / Security.
“Os ataques de API são pouco detectados e pouco relatados quando detectados. Embora os ataques DDoS e ransomware sejam os principais problemas, os ataques a APIs não recebem o mesmo nível de atenção, em grande parte porque os criminosos usam APIs de maneiras que não têm o respingo de um ataque de ransomware bem executado, mas isso não significa que eles deve ser ignorado. ”
Nem sempre está claro onde residem as vulnerabilidades da API. Por exemplo, as APIs costumam ficar ocultas em aplicativos móveis, levando à crença de que são imunes à manipulação. Os desenvolvedores presumem que os usuários interagirão apenas com as APIs por meio da interface de usuário móvel (IU), mas, conforme observado neste relatório, esse não é o caso.
Chris Eng , Chief Research Officer da Veracode declarou: “Compare o OWASP Top 10 com o OWASP API Security Top 10. Este último pretende abordar as ‘vulnerabilidades exclusivas e riscos de segurança’ das APIs, mas observe com atenção e você verá todos as mesmas vulnerabilidades da web, em uma ordem ligeiramente diferente, descritas com palavras ligeiramente diferentes. Para adicionar mais combustível ao fogo, as chamadas de API são mais fáceis e rápidas de automatizar (por design!) – uma faca de dois gumes que beneficia os desenvolvedores, bem como os invasores. ”
Picos no tráfego de ataque apontam para vulnerabilidades contínuas de API
Também detalhado no relatório, 18 meses de tráfego de ataque entre janeiro de 2020 e junho de 2021 foram revisados, encontrando mais de 11 bilhões de tentativas de ataques no total. Com 6,2 bilhões de tentativas registradas, SQL Injection ( SQLi ) permanece no topo da lista de tendências de ataques da Web, seguido por Local File Inclusion (LFI) com 3,3 bilhões e Cross-Site Scripting ( XSS ) com 1,019 bilhão.
Embora seja difícil apontar os ataques acima em termos de porcentagem de ataques puramente de API, o Open Web Application Security Project (OWASP) lançou recentemente uma lista dos 10 principais de segurança de API .
Os destaques adicionais do relatório incluem:
- Ataques de enchimento de credenciais monitorados durante os 18 meses entre janeiro de 2020 e junho de 2021 permaneceram estáveis, com picos de mais de 1 bilhão de ataques registrados em um único dia em janeiro de 2021 e maio de 2021.
- Os Estados Unidos foram o principal alvo de ataques a aplicativos da web durante o período observado, com quase seis vezes a quantidade de tráfego do que a Inglaterra, que ficou em segundo lugar. Os EUA também ocuparam o primeiro lugar na lista de fontes de ataques, ficando em primeiro lugar fora da Rússia, com quase quatro vezes a quantidade de tráfego.
- O tráfego DDoS permaneceu consistente em 2021 até agora, com picos registrados no início do primeiro trimestre de 2021. Em janeiro de 2021, 190 eventos DDoS foram registrados em um único dia, seguidos por 183 em março.