theNet by CLOUDFLARE

74% das organizações agora são API em primeiro lugar

Como as soluções pontuais criaram maior vulnerabilidade


No final de 2022, a T-Mobile foi vítima de violação de dados de 37 milhões de contas de clientes devido a uma API explorada. Essa violação e outras que afetaram a T-Mobile resultaram em um acordo de US$ 31,5 milhões com a Comissão Federal de Comunicações (FCC). Muitas outras empresas estão enfrentando ataques a APIs que podem levar a fraudes por meio do controle de conta e roubo de informações de cartão de crédito.

O uso de interfaces de programação de aplicativos (APIs) para o desenvolvimento de software está aumentando rapidamente. Esta tendência está ajudando a acelerar a inovação, mas também está criando novos riscos para as empresas.

Cada vez mais, as APIs são usadas para agilizar a integração de novos recursos, funções e fontes de dados no software, incluindo os modelos de linguagem grande (LLMs) usados para IA generativa. Um relatório do provedor de plataformas de colaboração de API, Postman, descobriu que 74% dos entrevistados eram organizações que priorizam a API em 2024, um aumento de 66% em relação ao ano anterior. A Gartner relata que mais de 80% dos entrevistados estão usando APIs internamente, enquanto pouco mais de 70% também estão usando APIs de terceiros, como as APIs fornecidas pelos fornecedores de SaaS.

Infelizmente, o uso de APIs para conectar softwares a novos recursos e fontes de dados também expande a superfície de ataque de uma organização. As APIs estão sujeitas a uma grande variedade de ataques, incluindo explorações de dia zero, ataques de negação de serviço distribuída (DDoS), abuso de autenticação e muito mais.

Quais são os riscos a APIs mais importantes? Como sua organização pode lidar com esses riscos para continuar a maximizar os benefícios das APIs?

Compreender os riscos de segurança de APIs e as limitações das soluções existentes

Para os invasores, as APIs são o alvo principal. Muitos invasores reconhecem, corretamente, que as organizações geralmente adotam rapidamente novas APIs sem implementar a segurança adequada.

Esses invasores estão encontrando várias maneiras de tirar proveito das vulnerabilidades das APIs. Muitos aproveitam as vulnerabilidades de autorização e autenticação que estão entre os principais riscos de segurança de APIs. Esses riscos são ainda mais críticos para APIs do que para aplicativos web e móveis: as APIs podem transportar informações confidenciais e dinâmicas que não podem ser codificadas ou deixadas em texto simples, como pode acontecer com um aplicativo web ou móvel. Quando as APIs não têm autenticação ou têm políticas de autorização excessivamente permissivas, elas ficam vulneráveis a ataques de falha de autorização em nível de objeto (BOLA), o que pode levar ao acesso não autorizado a dados.

Outros invasores lançam ataques DDoS, enviando um número esmagador de solicitações para APIs que não têm limites de solicitações. Quando os invasores têm sucesso com BOLA, DDoS ou outros ataques, eles podem ser capazes de acessar uma série de dados do usuário que fluem pelas APIs, como informações de cartão de crédito, informações de saúde ou outras informações de identificação pessoal (PII).

As organizações geralmente usam regras tradicionais de firewall de aplicativos web (WAF) para proteger o tráfego de APIs. No entanto, o modelo de segurança "negativo" usado por essas soluções, que bloqueia apenas ameaças conhecidas, é inadequado para capturar muitos ataques modernos específicos a APIs. Enquanto isso, muitas organizações implementam uma colcha de retalhos de soluções pontuais para segurança de aplicativos e APIs, deixando lacunas na cobertura e, ao mesmo tempo, adicionando uma complexidade de gerenciamento significativa.

Combater riscos com uma estratégia corporativa de segurança de APIs multifacetada

Eliminar vulnerabilidades e interromper toda a gama de ataques específicos a APIs requer uma estratégia corporativa multifacetada para APIs. As equipes precisam implementar práticas recomendadas para entender melhor quais APIs estão usando em toda a empresa, identificar vulnerabilidades, bloquear o tráfego malicioso, proteger dados e simplificar o gerenciamento.

  1. Aumentar a visibilidade: é difícil proteger algo se você não sabe que ele existe. No entanto, muitas equipes de TI e segurança não têm o cálculo ou visibilidade completas das APIs em uso em toda a organização. De acordo com uma análise recente de chamadas de API e solicitações HTTP, as organizações tinham 33% mais endpoints de API voltados para o público do que imaginavam.

    A descoberta de APIs é um primeiro passo importante para proteger esses componentes essenciais. O inventário de APIs internas e de terceiros pode ajudar a eliminar o uso de “APIs ocultas” e começar a criar uma estratégia coesa de segurança de APIs.

    Ao mesmo tempo, a descoberta de APIs pode ajudar a melhorar a eficiência do desenvolvimento, revelando funcionalidades pré-existentes e pré-criadas. Criar um catálogo de APIs permitirá que os desenvolvedores encontrem e incorporem facilmente as funcionalidades de que precisam e evitem escrever código para recursos já cobertos por APIs.

  2. Aproveitar o aprendizado de máquina: a descoberta de APIs não precisa ser um processo manual tedioso. Os serviços que usam aprendizado de máquina podem verificar o tráfego de APIs que, de outra forma, poderia não ser contabilizado.
    O aprendizado de máquina também pode melhorar a proteção a APIs. Em particular, você pode usar um serviço baseado em aprendizado de máquina para detectar ataques que podem ser executados apenas lentamente ao longo do tempo. Esses ataques são projetados para evitar ferramentas que identificam técnicas volumétricas.

  3. Identificar sua postura de risco a APIs: depois de entender melhor quais APIs sua organização está usando, você precisa identificar seus possíveis riscos. É claro que identificar possíveis problemas, e, em seguida, resolvê-los, pode parecer complicado, especialmente se a segurança de APIs é novidade para sua organização. A implementação da ferramenta de segurança de APIs correta pode ajudar as equipes a identificar configurações incorretas de autenticação, riscos de vazamento de dados confidenciais, vulnerabilidades a ataque BOLA e muito mais. Em seguida, é possível recomendar controles e políticas para melhorar sua postura de segurança.

  4. Criar um modelo de segurança positivo: para proteger melhor as APIs, as organizações devem deixar para trás modelos de segurança negativos que bloqueiam apenas ameaças conhecidas. A implementação de um modelo de segurança "positivo" pode capturar mais tráfego malicioso. Você pode aceitar apenas o tráfego que esteja em conformidade com seus esquemas OpenAPI enquanto bloqueia todas as outras solicitações.

  5. Implementar a prevenção contra perda de dados: uma estratégia de API deve impedir o vazamento de dados confidenciais que podem ser trocados por meio das APIs. Adotar uma abordagem proativa é o melhor. A verificação contínua de conteúdo malicioso em respostas em busca de dados confidenciais pode ajudar a identificar e evitar tentativas de exfiltração de dados.

  6. Consolidar as ferramentas de API: a adoção de várias APIs oferece um meio eficaz para os desenvolvedores aumentarem rapidamente os recursos dos aplicativos, mas também adiciona complexidade a ambientes de TI já complexos. Ao consolidar ferramentas para criar aplicativos, melhorar o desempenho e fortalecer a segurança, você pode melhorar a visibilidade e recuperar o controle sobre seu ambiente de TI.

Uma nuvem de conectividade pode fornecer uma plataforma unificada que permite que você lide com a descoberta de APIs, o desenvolvimento de aplicativos, a otimização de desempenho e a segurança sem precisar navegar por várias soluções pontuais. Com uma plataforma unificada, você pode integrar melhor a segurança ao processo de desenvolvimento, estabelecendo fluxos de trabalho de DevSecOps mais fortes que abordam possíveis problemas de segurança no início do processo de desenvolvimento e removem obstáculos à entrega rápida de novos recursos.


Avançar no mundo das APIs

Não importa se você está liderando uma empresa que prioriza as APIs ou adotando APIs caso a caso para acelerar o desenvolvimento inovador, proteger essas interfaces essenciais deve ser uma alta prioridade. Os invasores deixaram claro que consideram as APIs como alvos vulneráveis. Construir a estratégia certa para as APIs de segurança corporativa pode ajudar você a solucionar vulnerabilidades sem adicionar a complexidade de gerenciamento que as soluções de vários pontos podem criar.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.


Saiba mais sobre esse assunto

Saiba mais sobre como proteger APIs no e-book Guia sobre segurança de API para CISOs.

Principais conclusões

Após ler este artigo, você entenderá:

  • Principais vulnerabilidades das APIs que são essenciais para acelerar a inovação

  • Limitações das estratégias de segurança existentes

  • Como eliminar vulnerabilidades e detectar melhor ameaças com as práticas recomendadas de segurança de APIs

Recursos relacionados

Receba um resumo mensal das informações mais populares da internet.

Assine o theNET

Comece a usar

Recursos

Soluções

Comunidade

Suporte

Empresa

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum