As APIs (Interfaces de Programação de Aplicativos) são uma parte fundamental das estratégias de transformação digital, e a proteção dessas APIs é um dos principais desafios. As APIs são uma superfície de ataque em rápido crescimento que não é amplamente compreendida e pode ser ignorada pelos desenvolvedores e gerentes de segurança de aplicativos.
Veja o que diz o Projeto de Segurança de API da OWASP: "As APIs são uma parte essencial dos aplicativos modernos para dispositivos móveis, SaaS e Web e podem ser encontradas em aplicativos internos, voltados para o cliente e para parceiros. Por natureza, as APIs expõem a lógica do aplicativo e dados confidenciais, como informações de identificação pessoal (PII), e, por isso, tornaram-se cada vez mais um alvo para os invasores. Sem APIs seguras, a inovação rápida seria impossível."
Novamente, da OWASP:
A segurança da API concentra-se em estratégias para atenuar os riscos de segurança exclusivos das APIs. As vulnerabilidades tradicionais são menos comuns em aplicativos baseados em API:
A segurança da API é importante porque as empresas usam APIs para conectar serviços e transferir dados, portanto, uma API invadida pode levar a uma violação de dados.
Em dezembro de 2021, a Cloudflare informou que as chamadas de API representavam 54% do total de solicitações e aumentaram 21% de fevereiro a dezembro de 2021. Os invasores perceberam e aumentaram seu foco nas APIs.
O teste de segurança de API faz parte dos principais recursos do Gartner MQ for Application Security Testing.
As APIs se tornaram uma parte essencial dos aplicativos modernos (por exemplo, aplicativos móveis ou de página única), mas os conjuntos de ferramentas AST tradicionais podem não testá-las totalmente, o que leva à necessidade de ferramentas e recursos especializados. A capacidade de descobrir APIs em ambientes de desenvolvimento e produção e testar o código-fonte da API, bem como a capacidade de ingerir tráfego registrado ou definições de API para dar suporte ao teste de uma API em execução, são funções típicas.
A OWASP anunciou recentemente a versão candidata do API Security Top 10. Leia mais sobre o Projeto de Segurança de API da OWASP. Aqui estão os 10 melhores:
Defenda-se com precisão, proteja-se com confiança
Desbloqueie os testes de segurança, o gerenciamento de vulnerabilidades e o conhecimento e suporte personalizados
Encontre e corrija problemas de segurança antecipadamente com os resultados mais precisos do setor
Identificar vulnerabilidades em aplicativos e serviços da Web implantados
Habilite o logon único e o controle de acesso entre plataformas