F5 aponta os maiores desafios de se administrar e proteger as APIs
A F5, fornecedora de soluções corporativas de cibersegurança, anunciou as descobertas do estudo “Seis sinais de que há um problema com as APIs da organização”, que investiga as principais frentes de batalha enfrentadas por organizações que dependem de APIs para realizar negócios.
O estudo aponta seis grandes desafios para se ganhar controle sobre as APIs:
Shadow APIs – As empresas que não contam com um inventário das APIs homologadas para uso dos desenvolvedores abrem espaço para o consumo sem controle de “Shadow APIs”. A adoção das Shadow APIs – linguagens prontas disponíveis no mercado, mas sem credenciais de controle e de segurança – facilita o trabalho do desenvolvedor, mas também apresenta desafios de controle. Uma forma de superar esse desafio é contar com soluções automatizadas que atualizam o inventário de APIs e bloqueiam o uso de Shadow APIs.
APIs “órfãs” – Se os gestores não souberem quem é o responsável pela API, não é possível identificar quem procurar no caso de problemas com esta linguagem. Soluções que automatizam o controle sobre as APIs constroem um inventário em que a “propriedade” sobre a API é estabelecida claramente.
Controles de segurança impostos ao final da esteira atrasam projetos – Boa parte das APIs é alvo de tentativas de ataques – em 2020, 91% das empresas norte-americanas sofreram violações de APIs. Ainda assim, muitas organizações realizam os testes de segurança da API somente ao final do processo de desenvolvimento. Volta-se a etapa zero porque os responsáveis pela API não seguiram as melhores práticas de proteção destas linguagens ao longo da esteira de desenvolvimento. Além da mudança de cultura, é recomendável utilizar Advanced WAFs para defender as APIs dos ataques listados no OWASP API Top 10.
Não saber onde roda a API – A boa administração deste universo exige que se possua um mapa (infográfico) com a localização da API. A grande disseminação do modelo multinuvem no Brasil torna esse quadro ainda mais dramático. O gestor pode perder a visibilidade sobre esses ambientes. Outro problema surgido desta falha é que se torna mais difícil configurar políticas de segurança e testar o grau de proteção das APIs. Uma API rodando em lugares diferentes irá exigir proteções diferentes.
A documentação da API está desatualizada – É comum que profissionais de ICT Security fujam dos processos de documentação. Infelizmente, uma documentação sobre APIs desatualizada é um dos maiores sintomas de um ambiente sem controle. O ritmo de desenvolvimento e consumo de APIs é tal que o processo de documentação fica esquecido, dando margem a várias falhas futuras. Uma forma de contornar esse quadro é contar com soluções alinhadas ao padrão OpenAPI Specification, que gera automaticamente as novas versões de documentação de APIs.
Múltiplas APIs servem para a mesma tarefa – Uma das formas mais conhecidas de se cobrar pelo consumo de uma API é por meio de métricas que acusam quantas chamadas aconteceram. Seja para não pagar este custo, seja porque prefere desenvolver de forma manual sua própria API para resolver uma demanda, muitos desenvolvedores constroem novas APIs que se sobrepõem a APIs já existentes. Essa realidade pode multiplicar o caos.
Impacto das APIs no Brasil
Segundo o relatório 2022 State of API, do instituto Postman API Plataform, o Brasil é o quarto maior país usuário de APIs como linguagem de troca de dados entre aplicações empresariais. Em 2022 aconteceram 1.444.375 chamadas de APIs, colocando o país atrás somente dos Estados Unidos, Índia e China.
A F5 diz que as APIs são críticas para o crescimento da economia digital brasileira em 2023. O PIX e o Open Banking são exemplos de ecossistemas que usam APIs para “chamar” dados de aplicações de terceiros e, deste modo, acelerar operações financeiras.
IP News, 13 de fevereiro de 2023
Artigos relacionados
Tags
Compartilhe
