Tópicos técnicos

O que é segurança de API?

Ilustração de itens de TI com foco em um ponto de interrogação

Visão geral

As APIs (Interfaces de Programação de Aplicativos) são uma parte fundamental das estratégias de transformação digital, e a proteção dessas APIs é um dos principais desafios. As APIs são uma superfície de ataque em rápido crescimento que não é amplamente compreendida e pode ser ignorada pelos desenvolvedores e gerentes de segurança de aplicativos.

Segurança da API

Veja o que diz o Projeto de Segurança de API da OWASP: "As APIs são uma parte essencial dos aplicativos modernos para dispositivos móveis, SaaS e Web e podem ser encontradas em aplicativos internos, voltados para o cliente e para parceiros. Por natureza, as APIs expõem a lógica do aplicativo e dados confidenciais, como informações de identificação pessoal (PII), e, por isso, tornaram-se cada vez mais um alvo para os invasores. Sem APIs seguras, a inovação rápida seria impossível."

Qual é a diferença entre os aplicativos baseados em API?

Novamente, da OWASP:

O servidor é usado mais como um proxy para dados.
O componente de renderização é o cliente, não o servidor.
Os clientes consomem dados brutos.
As APIs expõem a implementação subjacente do aplicativo.
O estado do usuário geralmente é mantido e monitorado pelo cliente.
Mais parâmetros são enviados em cada solicitação HTTP (IDs de objeto, filtros).

Qual é a diferença entre a segurança de API e a segurança geral de aplicativos?

A segurança da API concentra-se em estratégias para atenuar os riscos de segurança exclusivos das APIs. As vulnerabilidades tradicionais são menos comuns em aplicativos baseados em API:

SQLi - Aumento do uso de ORMs.
CSRF - Cabeçalhos de autorização em vez de cookies.
Manipulações de caminho - Armazenamento baseado em nuvem.
Problemas clássicos de segurança de TI - SaaS.

Por que a segurança da API é importante?

A segurança da API é importante porque as empresas usam APIs para conectar serviços e transferir dados, portanto, uma API invadida pode levar a uma violação de dados.

O uso da API continua a crescer

Em dezembro de 2021, a Cloudflare informou que as chamadas de API representavam 54% do total de solicitações e aumentaram 21% de fevereiro a dezembro de 2021. Os invasores perceberam e aumentaram seu foco nas APIs.

O teste de segurança de API faz parte dos principais recursos do Gartner MQ for Application Security Testing.

As APIs se tornaram uma parte essencial dos aplicativos modernos (por exemplo, aplicativos móveis ou de página única), mas os conjuntos de ferramentas AST tradicionais podem não testá-las totalmente, o que leva à necessidade de ferramentas e recursos especializados. A capacidade de descobrir APIs em ambientes de desenvolvimento e produção e testar o código-fonte da API, bem como a capacidade de ingerir tráfego registrado ou definições de API para dar suporte ao teste de uma API em execução, são funções típicas.

Quais são os 10 principais itens de segurança de API da OWASP?

A OWASP anunciou recentemente a versão candidata do API Security Top 10. Leia mais sobre o Projeto de Segurança de API da OWASP. Aqui estão os 10 melhores:

API1 - Autorização em nível de objeto quebrada
API2- Autenticação de usuário quebrada
API3 - Exposição excessiva de dados
API4 - Falta de recursos e limitação de taxas
API5 - Autorização de nível de função quebrada
API6 - Atribuição em massa
API7 - Configuração incorreta de segurança
API8 - Injeção
API9 - Gerenciamento inadequado de ativos
API10 - Registro e monitoramento insuficientes

Fortify ajuda na segurança da API

Segurança da API com Fortify:

Cobertura da superfície de ataque - Descubra automaticamente endpoints de API novos e obscuros durante os testes e identifique a amplitude dos endpoints com esquemas OpenAPI, Swagger, Odata ou WSDL.
Autenticação de API - A autenticação de API é variada e complexa. O site Fortify é compatível com praticamente todos os tipos de tokens e implementações de portadores.
Detecção de vulnerabilidades - Cobertura cada vez maior de vulnerabilidades específicas de API que afetam áreas como tokens de portador ou introspecção GraphQL.
Automação de varredura - Dimensione os testes de API com orquestração de nível empresarial fornecida via SaaS, hospedada ou no local.

Segurança da API

Comece hoje mesmo

Saiba mais

Recursos

Fortify comunidade

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Banco de dados analíticoBanco de dados analítico

Análise de dados não estruturadosAnálise de dados não estruturados

Inteligência de negócios e relatóriosInteligência de negócios e relatórios

Data DiscoveryData Discovery

eDiscovery and InvestigationseDiscovery and Investigations

Legal Content and Knowledge ManagementLegal Content and Knowledge Management

Pesquisa empresarialPesquisa empresarial

Aviator Search

Business Network CloudBusiness Network Cloud

Integração da cadeia de suprimentosIntegração da cadeia de suprimentos

Serviços de integração B2BServiços de integração B2B

Colaboração do ecossistemaColaboração do ecossistema

Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Integrações de negóciosIntegrações de negócios

Captura e processamento inteligente de documentosCaptura e processamento inteligente de documentos

Information ArchivingInformation Archiving

Automação de processosAutomação de processos

Governança da informaçãoGovernança da informação

Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Identity and Access ManagementIdentity and Access Management

Privacidade e proteção de dadosPrivacidade e proteção de dados

Investigações e perícias digitaisInvestigações e perícias digitais

Inteligência sobre ameaçasInteligência sobre ameaças

Detecção e resposta a ameaçasDetecção e resposta a ameaças

Cybersecurity Aviator

Developer CloudDeveloper Cloud

Information Management ServicesInformation Management Services

Developer Cloud documentação técnicaDeveloper Cloud documentação técnica

Aviator Thrust

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Teste funcionalTeste funcional

Engenharia de desempenhoEngenharia de desempenho

DevOps Aviator

Experience CloudExperience Cloud

Experiências de marca e na WebExperiências de marca e na Web

MensagensMensagens

Jornada do cliente e dadosJornada do cliente e dados

Media ManagementMedia Management

Análise do centro de contatoAnálise do centro de contato

Experience Aviator

IT Operations CloudIT Operations Cloud

Gerenciamento de serviçosGerenciamento de serviços

FinOpsFinOps

AIOps e observabilidadeAIOps e observabilidade

AutomaçãoAutomação

Gerenciamento de redeGerenciamento de rede

IT Operations Aviator

PortfolioPortfolio

Proteção de dados e backup de endpointsProteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvelGerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipeTrabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Informações reimaginadasInformações reimaginadas

Inteligência ArtificialInteligência Artificial

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

BlogsBlogs

EventosEventos

Em destaque

Analytics Cloud

Banco de dados analítico

Análise de dados não estruturados

Inteligência de negócios e relatórios

Data Discovery

eDiscovery and Investigations

Legal Content and Knowledge Management

Pesquisa empresarial

Business Network Cloud

Integração da cadeia de suprimentos

Serviços de integração B2B

Colaboração do ecossistema

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Integrações de negócios

Captura e processamento inteligente de documentos

Information Archiving

Automação de processos

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Identity and Access Management

Privacidade e proteção de dados

Investigações e perícias digitais

Inteligência sobre ameaças

Detecção e resposta a ameaças

Developer Cloud

Information Management Services

Developer Cloud documentação técnica

DevOps Cloud

Plataforma DevOps

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Teste funcional

Engenharia de desempenho

Experience Cloud

Experiências de marca e na Web

Mensagens

Jornada do cliente e dados

Media Management

Análise do centro de contato

IT Operations Cloud

Gerenciamento de serviços

FinOps

AIOps e observabilidade

Automação

Gerenciamento de rede

Portfolio

Proteção de dados e backup de endpoints

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Informações reimaginadas

Inteligência Artificial

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navigator