Situação da segurança de aplicações

Três tendências surpreendentes de ameaças a aplicativos web e APIs

Aplicativos web raramente são criados com a segurança em mente. No entanto, os usamos diariamente para todos os tipos de funções críticas, tornando-os um alvo valioso para hackers.

Dada a natureza crítica dos aplicativos web e das APIs, e dos dados que eles contêm, aplicativos explorados ou desprotegidos podem levar a interrupções nos negócios, perdas financeiras e colapsos da infraestrutura crítica.

Os insights do relatório da Cloudflare Situação da segurança de aplicativos mostram que as organizações lutam com abordagens de segurança desatualizadas para aplicativos web e APIs, enquanto os agentes de ameaças on-line estão operando com mais eficiência e rapidez do que nunca. A pesquisa foi baseada em padrões de tráfego agregados (observados de abril de 2023 a março de 2024) da rede global da Cloudflare, que identifica e bloqueia 209 bilhões de ameaças cibernéticas todos os dias.

Este artigo destaca três tendências principais do relatório que exigem atenção e ações urgentes dos CISOs.

Tendência 1: as organizações usam amplamente segurança de APIs desatualizada

Consumidores e usuários finais esperam experiências dinâmicas na web e em dispositivos móveis, que são cada vez mais aprimoradas e alimentadas por APIs. Para as empresas, as APIs alimentam vantagens competitivas, maior inteligência de negócios, implantações em nuvem rápidas, integração de novos recursos de IA e muito mais.

A questão é que, para muitos, a segurança de APIs acabou ficando defasada em relação ao ritmo acelerado de implantação de APIs. A Cloudflare usa modelos de aprendizado de máquina para identificar o tráfego de APIs que, de outra forma, pode não ser contabilizado. Neste relatório, as organizações tinham 33% mais endpoints de API voltados para o público do que imaginavam. (Esse número foi calculado comparando o número de endpoints de API detectados por meio de descoberta baseada em aprendizado de máquina com os identificadores de sessão fornecidos pelo cliente.)

Apesar do fato de as APIs apresentarem desafios de segurança diferentes em comparação com os aplicativos web, descobrimos que 66,6% do tráfego de APIs defendido por alguma forma de segurança da camada de aplicação é protegido principalmente pelas regras tradicionais de segurança negativa do WAF, em vez de regras de APIs especializadas que empregam um modelo de segurança positivo. Os modelos de segurança negativos funcionam bloqueando o tráfego ruim e permitindo todo o resto, enquanto os modelos de segurança positivos especificam qual tráfego é explicitamente permitido enquanto negam todo o resto.

Recomendação

À medida que as empresas expõem mais serviços por meio de APIs, elas devem aumentar as ferramentas de segurança de aplicativos web (como WAFs e DDoS) com segurança de APIs projetada especificamente para isso e gerenciamento aprimorado por aprendizado de máquina não supervisionado.

Em vez de confiar em regras de modelos de segurança negativos para proteger as APIs, as práticas recomendadas do setor incentivam a proteção de APIs com um modelo de segurança positivo. Um modelo de segurança positivo para segurança de APIs permite que as organizações protejam as APIs aceitando apenas tráfego que esteja em conformidade com esquemas OpenAPI definidos, enquanto bloqueiam solicitações malformadas e anomalias HTTP que podem conter ataques.

Continue a aprimorar a segurança de suas APIs com a descoberta de APIs ocultas. Uma ferramenta robusta de segurança de APIs deve verificar constantemente todas as APIs públicas em seu cenário, inclusive aquelas que não são gerenciadas ou não são protegidas.

Tendência 2: o código de terceiros causa um aumento no risco da cadeia de suprimentos

A maioria dos aplicativos web das organizações depende de partes separadas de código de provedores terceirizados (geralmente JavaScript). O uso de scripts de terceiros acelera o desenvolvimento de aplicativos web modernos e permite que as organizações enviem recursos para o mercado mais rapidamente, sem precisar criar todos os novos recursos de aplicativos internamente.

A pesquisa mais recente mostra que um site médio de um cliente da Cloudflare contém 47 scripts de terceiros, 50 conexões com funções JavaScript e seu destino além de apresentar 12 cookies.

O código e os cookies de terceiros representam riscos de segurança para os visitantes da web devido ao fato de que esse código é frequentemente carregado no navegador do usuário e os cookies podem ser adulterados para assumir o controle de uma sessão ou conta, por exemplo. Os invasores podem obter acesso para modificar o código dos componentes JavaScript usados em sites de várias maneiras, como usar credenciais de conta roubadas ou explorar vulnerabilidades zero-day ou não corrigidas. Em seguida, eles usam esse acesso privilegiado para lançar um ataque downstream em todos os sites que usam esse código JavaScript.

Recomendação

Procure um fornecedor de segurança que identifique automaticamente riscos de script de terceiros e forneça uma visão de painel completa e única de todos os cookies primários usados pelos seus sites.

Tendência 3: um terço de todo o tráfego da internet vem de bots, mas alguns setores são mais afetados do que outros

Em média, os bots representam um terço (31,2%) de todo o tráfego de aplicativos processado pela Cloudflare. Esse percentual permaneceu relativamente consistente (pairando em cerca de 30%) nos últimos três anos.

O termo tráfego de bots pode ter uma conotação negativa, mas, na realidade, tráfego de bots não é necessariamente bom ou ruim, tudo depende da finalidade dos bots. Alguns são "bons" e prestam um serviço necessário, como chatbots de atendimento ao cliente e crawlers de mecanismo de busca autorizados. Mas alguns bots fazem mau uso de um produto ou serviço on-line e precisam ser bloqueados, dadas as interrupções de receita que podem causar. Na verdade, uma empresa típica nos EUA e no Reino Unido perde mais de 4% de sua receita on-line todos os anos devido a ataques de bots maliciosos.

Esses setores observam a maior parcela média diária de tráfego de bots:

Fonte da imagem: Situação da segurança de aplicativos em 2024

Recomendação

Se o seu setor tende a experimentar mais tráfego de bots, considere aumentar os investimentos no gerenciamento de bots para deter preventivamente as ameaças de bots ruins.

Procure um serviço de gerenciamento de bots que:

• Identifica com precisão bots em escala aplicando análise comportamental, aprendizado de máquina e impressões digitais a um vasto e diversificado volume de dados

• Se integra facilmente com seus outros serviços de segurança e desempenho de aplicativos web (por exemplo, WAF, CDN, DDoS)

• Permite que os bots bons, como os dos mecanismos de pesquisa, continuem acessando seu site e, ao mesmo tempo, evita o tráfego malicioso.

Fique à frente dos riscos emergentes

Muitas organizações têm uma rede de hardware de segurança legada, segurança nativa de nuvem e segurança desenvolvida internamente para enfrentar todos os seus desafios de segurança de aplicativos. Mas essa abordagem fragmentada dificulta a conexão e a proteção de aplicativos SaaS, aplicativos web e outras infraestruturas de TI. A expansão da TI torna mais fácil para os invasores encontrar e explorar vulnerabilidades. Uma abordagem de plataforma consolidada ajuda a garantir melhor segurança, conectividade sem latência, melhorar o crescimento da empresa, permitindo que as organizações cumpram as regulamentações locais ao expandir para novos mercados e fortalecer a confiança do cliente.

A segurança de aplicativos da Cloudflare protege aplicativos e APIs contra abusos, interrompe bots ruins, impede ataques DDoS e monitora conteúdo malicioso suspeito e ataques da cadeia de suprimentos do navegador. Nossos produtos de segurança de aplicativos funcionam em estreita colaboração com nosso pacote de desempenho, todos fornecidos pela nuvem de conectividade da Cloudflare, a próxima evolução da nuvem pública, fornecendo uma plataforma unificada e inteligente de serviços programáveis e combináveis em uma rede em nuvem global programável.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Principais conclusões

Após ler este artigo, você entenderá:

• O papel de aplicativos e APIs em negócios e comunicações modernos

• Três tendências emergentes de aplicativos web e APIs que exigem atenção urgente dos CISOs

• Recomendações práticas que ajudam as organizações a se manterem à frente das ameaças

Recursos relacionados

• Situação da segurança de aplicativos em 2024

• Resumo de segurança global de 2024

• Os ataques do lado do cliente estão aumentando