A F5 anunciou as descobertas do estudo Riscos causados pela proliferação das APIs e o time responsável pelo levantamento construiu, a partir de análises do mercado global de APIs, um modelo que simultaneamente examina o estado atual desse universo e para onde ele avança. “Estimamos que o número de APIs públicas e privadas hoje se aproxime de 200 milhões e que, em 2031, esse número poderá chegar a bilhões”, disse Rajesh Narayanan, diretor sênior de tecnologia da F5.
Outro índice de impacto é o número de desenvolvedores. “Partindo do pressuposto de que, em 2018, o mundo contava com 23.9 milhões de desenvolvedores, é possível estimar que, nos próximos 10 anos, essa marca se expandirá entre 30% e 90%, conforme a velocidade e constância de digitalização das diversas economias mundiais. Ou seja, há a possibilidade de existirem 45 milhões de desenvolvedores em ação em 2030 – boa parte deles se dedicando à construção de APIs”, diz Hilmar Becker, Country Manager da F5 Networks Brasil.
Esse quadro descreve uma explosão de aplicações e de APIs, algo que trará novos desafios para os gestores de cyber segurança.
APIs estão no centro do ecossistema de Open Banking
Quando as APIs começaram a ser adotadas no início dos anos 2000, elas eram vistas principalmente como uma solução técnica que permitia que as aplicações se conectassem e trocassem dados. “Hoje as APIs são cada vez mais reconhecidas como um importante impulsionador de inovação, criação de valor e receita”, diz Becker. “É isso que vemos acontecer, por exemplo, no ecossistema brasileiro de Open Banking. O desenvolvimento e consumo de APIs é uma ‘cola’ que integra aplicações de empresas diferentes, criando um fluxo de dados que acelera ainda mais a economia digital”.
Esse contexto traz, no entanto, riscos. Conforme o número de APIs e a complexidade das aplicações aumentam, fica muito difícil rastrear onde as APIs estão localizadas. Descobri-las dentro e fora da empresa pode ser difícil e a conectividade ponta a ponta pode ser afetada.
As APIs vêm em muitas formas e tamanhos e têm uma variedade de funções. Existem APIs públicas, acessíveis ao público em geral, como as usadas pelo Google Maps ou o App Lyft. Há APIs privadas, que fazem parte de sistemas internos, como no caso das APIs de microsserviços, ou para uso apenas por equipes internas. Existem APIs de parceiros que permitem o compartilhamento de dados e a criação de ofertas inovadoras. “Gerenciar e controlar todos esses diferentes tipos de APIs pode ser um desafio para as empresas”, diz Becker.
APIs sob ataque: exploits sob medida para essa linguagem
De acordo com o relatório da F5, a proliferação de APIs apresenta desafios operacionais e de segurança. Estudo do Gartner de fevereiro de 2021 mostra que exploits focados em APIs são cada vez mais comuns. O levantamento aponta que aplicações Web serão cada vez mais atacadas por meio de vulnerabilidades de APIs. Entrevistas realizadas com 200 CISOs norte-americanos em 2021 indicaram que 91% haviam sofrido ataques por meio de APIs.
A própria natureza da API aumenta os riscos do ambiente. Atualizações frequentes de APIs resultam em problemas de versão e documentação. Além disso, as APIs estão sujeitas a fraudes e comportamentos maliciosos. As APIs externas devem ser validadas continuamente, de forma a provar sua confiabilidade. Outro problema é que as chaves internas da API podem ser comprometidas, dando aos invasores acesso à infraestrutura crítica.
A constante expansão das APIs aumenta a vulnerabilidade das empresas
Todo esse contexto ganha criticidade quando se analisa os vários fatores que contribuem para a constante expansão das APIs – algo que nem sempre acontece de acordo com as melhores práticas de segurança.
• A falta de padrões globais resulta em problemas de interoperabilidade, levando à criação de várias APIs com a mesma função;
• A maioria das empresas está evoluindo para arquiteturas de microsserviços, que por natureza resultam em dezenas de APIs;
• O desenvolvimento contínuo de software resulta no lançamento frequente de novas versões de API;
• As empresas criam novas APIs para permitir a integração entre sistemas, programas ou aplicações internas;
• As unidades de negócios isoladas geralmente adotam abordagens de API separadas;
• Os modelos de negócios de computação de Borda (edge computing) e tudo como serviço impulsionam a criação de ainda mais APIs e em mais locais.
Soluções como gateways de API, controladores de ingresso e proxies secundários podem permitir o gerenciamento altamente eficaz de arquiteturas de API dentro do cluster, mas são insuficientes para gerenciar a proliferação de APIs entre clusters.
Para resolver a proliferação de APIs em vários clusters, as empresas exigem uma única fonte de verdade que rastreie todas as APIs, a versão e documentação adequadas, além de comprovar a conectividade de API para API e o monitoramento uniforme da confiabilidade. Com as APIs abrindo novos vetores de ameaças, as empresas precisam reconhecer o risco que representam e fazer da confiança uma métrica para terceiros que acessam suas APIs.
