O mundo está cada dia mais expondo APIs (Open), Segurança de APIs é crítico e vamos entender estas razões:
Gartner prevê que até 2022 as APIs serão os pontos #1 de ataques de hackers
Existem brechas de APIs a toda semana – Veja alguns exemplos na newsletter da https://apisecurity.io/ . Abaixo alguns exemplos:
Equifax teve uma brecha de vulnerabilidade oriunda do uso de uma biblioteca sem suporte do Apache Struts (popular framework de desenvolvimento web Java) mais especificamente nos cabeçalhos http . A empresa aceitou pagar uma multa de 700 Milhões de Dólares, O valor da Equifax, um gigante na área financeira foi considerável reduzido.
Sistema Governo Frances Tchap foi hackeado por não forçar a validação de um parâmetro de dado de e-mail, permitindo que pessoas de forma do domínio pudessem te acesso ao sistema de forma indevida (entrada não validada: (fs0c131y@protonmail.com@elysee.fr).
LandMark White – Foi hackeada devido a uma falha de segurança no backend, eles perderam marketshare, valor das ações caíram, tendo ficado fora do mercado por período de tempo, e seu CEO teve que sair.
Por que é tão difícil aplicar segurança em APIs?
APIs são distribuídas – Empresas possuem dezenas, centenas o milhares de APIs externas (através do uso de API Gateways como WSO2, Sensedia, CA, Axway, AWS, Azure etc), que são desenvolvidas e mantidas em alguns casos por times diferentes.
APIs usam um stack variado de implementações: AWS API gateway, AWS Lambda & EC2, linguagens de programação (Node.js, Go, Python), etc.
APIs são “frontends” de dados críticos, incluindo pessoais (LGDP, GDPR)
O uso correto ou fraudulento de APIs está específico muitas vezes na implementação, não existe uma forma de uma regra única e universal para saber se uma mensagem(payload) esperada pela API é algo esperado ou é proveniente de um ataque.
Teoricamente, é possível ter todos os desenvolvedores exaustivamente treinados em segurança de APIs que apliquem todos e quaisquer testes de segurança (autenticação, autorização, transporte, JWT, cada pedaço do dato indo e voltando) e todos os possíveis pontos de entrada (formato de todos os cabeçalhos, valores fora de uma faixa ou padrão etc) – Na realidade atentar de forma humana e manual é sem dúvida pouco prática e impossível.
O custo em termos de esforço manual e o risco de erros humano tem se tornado quase que proibitivos em termos de custos.
A Skalena é o distribuidor da Plataforma 42Crunch na América do Sul, quando nós trouxermos essa parceria para região, o nosso maior objetivo é fazer com que os nossos mercados cada vez mais possam abrir suas APIs sem as possíveis e recorrentes dúvidas a respeito de segurança e acesso.
Nós estamos cada vez vivendo a era “Open”, já temos o Open Banking a caminho de uma regulação no Brasil, e na sequência temos a Open Insurance (para seguros), e agora recente vimos a Open Retail Initiative. De modo geral a democratização do acesso a informação, trará enormes benefícios, mas também mazelas de segurança que temos que evitar a todo o custo.
E como a plataforma 42Crunch pode te ajudar?
É integrável com qualquer API Gateway/Manager de mercado, se você usa Sensedia, WSO2, CA, 3Scale, Apigee, Kong, Tyq etc, o papel de segurança e prevenção de ataques do 42Crunch está para para uma API, assim como um WAF(Web Application Firewall) está para suas aplicações Web. Sim, o 42Crunch é um API Firewall, uma categoria de software ainda nova no mercado, mas de suma e extrema importância para quem estiver subindo APIs na rede.
Se você não tiver nenhum API Gateway, o 42Crunch pode servir com este propósito, adicionando OAuth, rate limit, proteção de Dos e ainda outras políticas básicas como IP Whitelist, tamanho de mensagem HTTP e WAF)
A plataforma 42Crunch analisa o contrato da sua API (Swagger, RAML ou OAS – Open API Specification), e antes de ir passar até mesmo para a fase de Mock da sua API, já lhe informa suas potenciais falhas de design e segurança. No relatório gerado, é apontado exatamente o que, onde e a justificativa de mudar ou adaptar algo).
Todos os contratos das APIs nas fases de DEV, QA, Prod já aderente aos seus pipelines DevOps são verificados para garantir a consistência dos mesmos.
Este modelo aplica um modelo de Security by Design , ou seja, a premissa é que segurança é um item inegociável.
Como a solução é centralizada, mesmo que a organização tenha mais de 1 API Manager/Gateway, todos os contratos serão auditados, “scaneados” pela plataforma.
100% aderente a todas as práticas de DevOps dentro de uma organização.
A Skalena em seu portfólio de soluções tem na 42Crunch uma aliança estratégica para entregar uma plataforma de Microserviços e APIs segura e robusta em todos os aspectos. Como nós utilizamos nossa ferramenta própria de aceleração de desenvolvimento: Mapperidea, todos nossos contratados Swagger e OAS já nascem dentro das recomendações da 42Crunch. Ficou interessando? Vamos bater um papo sobre o assunto, e será um prazer convidar meu amigo e ex-colega da WSO2: Dmitry Sotnikov (VP of Cloud da 42Crunch) para fazer parte da conversa.