Serviços CIS, como mitigação de DDoS e firewall de aplicativos da Web para proteção de gateway de API e solução de quaisquer outros desafios de segurança

Visão geral

A base das transições digitais de várias empresas é a Interface Programável de Aplicativo (API). A importância das APIs no local de trabalho está crescendo, seja para criar aplicativos em novos microsserviços nativos da nuvem e arquiteturas sem servidor, automatizar atividades business-to-business ou atuar como back-end para aplicativos móveis. Infelizmente, os cibercriminosos estão cientes desta mudança em direção a um mundo centrado em APIs e estão desenvolvendo novos métodos de ataque a uma taxa igual à taxa de expansão da API. Portanto, as empresas precisam urgentemente de implementar novas medidas de segurança para proteger as suas APIs e outros ativos digitais. Combinar um API Gateway com um sistema de gerenciamento de acesso de API, que oferece um ponto de controle centralizado com políticas cuidadosamente monitoradas e gerenciamento de acesso baseado no contexto, é o método ideal para proteger suas APIs. As organizações serão capazes de compreender seus riscos específicos, identificar falhas de segurança e identificar ameaças se uma aplicação web e uma solução de segurança de API forem integradas ao planejamento, execução ou otimização da estratégia de segurança da informação.

Tipos de riscos de segurança de aplicativos da Web

Dependendo dos objetivos do invasor, do tipo de trabalho realizado pela organização visada e das falhas de segurança específicas da aplicação, diferentes tipos de ataque podem ser usados ​​contra aplicações web.

• Falhas de dia zero: Essas falhas ainda não foram descobertas por um desenvolvedor de aplicativos e uma correção ainda não está disponível. Os ataques visam aproveitar essas falhas o mais rápido possível e, frequentemente, tentam passar pelas defesas dos provedores de segurança.
• Injeção de SQL (SQi): Usando a injeção de SQL (SQi), um invasor pode tirar vantagem de falhas na maneira como um banco de dados processa consultas de pesquisa. Os invasores podem alterar ou adicionar permissões de usuário, acessar informações não autorizadas, manipular ou excluir dados confidenciais e muito mais usando SQi

Em julho de 2022, um grave problema de injeção de SQL afetando os produtos GMS (Global Management System) e Analytics On-Prem da SonicWall foi recentemente tornado público em um comunicado de segurança. O bug tem uma classificação crítica de 9,4 e é rastreado como CVE-2022-22280. Devido à complexidade mínima de ataque desta vulnerabilidade e ao enorme potencial de danos, qualquer pessoa com um conhecimento básico de injeção de SQL pode explorá-la. Não há necessidade de interação ou autenticação do usuário para usar CVE-2022-22280 na rede.

• Cross-site scripting (XSS): é uma falha de segurança que permite a um invasor inserir scripts do lado do cliente em uma página da Web para obter acesso direto a informações cruciais, passar-se como usuário ou enganar o usuário para que ele revele informações cruciais.
• Ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS): os invasores podem usar vários vetores diferentes para inundar um servidor alvo ou a infraestrutura ao seu redor com vários tipos de tráfego de ataque. Um servidor começa a agir de forma lenta e eventualmente recusa o serviço às solicitações recebidas de usuários genuínos quando não consegue mais lidar com as solicitações recebidas de maneira eficiente.

De acordo com o “Threat Intelligence Report 2023” da Check Point, uma única empresa indiana viu 2.146 ataques cibernéticos em média por semana durante os últimos seis meses, em oposição a 1.239 ataques por organização internacionalmente. Com a implementação mais rápida de plataformas digitais, aplicações e ambientes para trabalho remoto a partir de casa que a COVID-19 trouxe, os ataques DDoS aumentaram globalmente. As crises geopolíticas, nomeadamente a guerra da Rússia contra a Ucrânia e os seus aliados da NATO, também estão associadas a um aumento significativo de ataques DDoS, especialmente nos setores da saúde, da energia e dos serviços públicos, bem como nos setores da logística e das cadeias de abastecimento. Este aumento dos ataques DDoS visa a infraestrutura essencial dos adversários.

A Comcast Business declarou em um relatório de 2022 que interrompeu com sucesso 24.845 ataques DDoS multivetoriais em 2021, um aumento de 47% em relação a 2020. Em 2021, 69% dos clientes da Comcast sofreram ataques DDoS, e 55% deles eram alvos de ataques multivetoriais .

O mercado global de negação de serviço distribuído testemunhou um crescimento substancial nos últimos anos devido ao aumento das ameaças DDoS em ambientes IoT. Além disso, o aumento de ataques DDoS multivetoriais e a crescente demanda por soluções híbridas e de proteção e mitigação de DDoS baseadas em nuvem também são considerados os principais fatores que aumentam o crescimento no período de previsão.

Para saber mais sobre o estudo, acesse:https://www.databridgemarketresearch.com/pt/reports/global-distributed-denial-of-service-market

• Abuso de API: O software que permite a conexão de dois aplicativos é conhecido como API ou interface de programação de aplicativos. Como qualquer tipo de software, eles podem incluir falhas que permitem que hackers insiram códigos nefastos em um programa específico ou bisbilhotem informações privadas à medida que são transferidas entre aplicativos. À medida que o uso da API aumenta, esse tipo de ataque se torna mais prevalente
• Abuso de código de terceiros: Os aplicativos da web modernos freqüentemente usam uma ampla variedade de ferramentas de terceiros. Um exemplo é um [site de comércio eletrônico] que usa um serviço de processamento de pagamentos de terceiros. Se um invasor descobrir uma falha em uma dessas ferramentas, ele poderá roubar os dados que ela processa, impedir seu funcionamento ou explorá-la para introduzir código malicioso em outras partes do aplicativo. Esta classe de ataque inclui ataques de magecart, que roubam informações de cartão de crédito de processadores de pagamento. Esses ataques são às vezes chamados de ataques à cadeia de suprimentos em navegadores
• Raspagem de página: Os invasores também podem usar bots para extrair conteúdo substancial de sites. Eles podem usar essas informações para reduzir os preços de um rival, fazer-se passar pelo proprietário da página para o mal ou outros objetivos
• Corrupção de memória: A corrupção de memória é a modificação não intencional de um local de memória, que pode fazer com que o software se comporte de forma inesperada. Atores mal-intencionados tentarão detectar corrupção de memória e usar explorações como injeção de código ou ataques de buffer overflow em seu benefício
• Estouro de buffer: Uma anomalia de software conhecida como buffer surge quando os dados são gravados em uma área designada da memória. Os dados são reescritos em regiões de memória próximas quando o buffer atinge seu limite. Este comportamento pode ser usado para injetar código malicioso na memória da máquina alvo, talvez levando a uma vulnerabilidade

Em agosto de 2023, Ivanti Avalanche, uma ferramenta de gerenciamento de mobilidade empresarial (EMM) criada para gerenciar, monitorar e proteger vários dispositivos móveis, foi afetada por dois buffer overflows baseados em pilha, marcados conjuntamente como CVE-2023-32560. As vulnerabilidades podem ser exploradas remotamente sem autenticação do usuário e são classificadas como críticas (CVSS v3: 9.8), permitindo que invasores executem código arbitrário no sistema alvo

• CSRF (falsificação de solicitação entre sites): A falsificação de solicitação entre sites é realizada enganando a vítima para que envie uma solicitação usando sua autenticação ou autorização. Um invasor pode enviar uma solicitação fingindo ser um usuário usando os direitos da conta do usuário. Depois que um invasor obtém acesso à conta de um usuário, ele pode exfiltrar, excluir ou alterar dados confidenciais. Os alvos frequentemente incluem contas altamente protegidas, como administradores ou executivos
• Recheio de credenciais: Os invasores podem usar bots para inserir rapidamente um grande número de combinações de nomes de usuário e senhas roubadas nos portais de login de um aplicativo on-line. Isso é conhecido como "preenchimento de credenciais". Se o invasor conseguir acessar a conta de um usuário real devido a essa prática, ele poderá roubar os dados do usuário ou realizar transações fraudulentas usando o nome do usuário.
• Configurações incorretas da superfície de ataque: Os servidores, dispositivos, SaaS e ativos em nuvem acessíveis pela Internet constituem toda a área de TI de uma organização, que é suscetível a ataques cibernéticos. Uma superfície de ataque pode continuar vulnerável ao omitir ou configurar alguns componentes

Estratégias para segurança de aplicações web

• Mitigação de DDoS: Os serviços de mitigação de DDoS usam filtros especializados e capacidade de largura de banda altamente alta para ficar entre um servidor e a Internet pública, evitando que picos de tráfego malicioso inundem o servidor. Esses serviços são críticos, pois vários ataques DDoS contemporâneos geram tráfego malicioso suficiente para inundar até mesmo os servidores mais resilientes.
• Gerenciamento de bots: Esta técnica separa o tráfego automatizado de usuários humanos e proíbe o primeiro de acessar uma aplicação web usando aprendizado de máquina e outras técnicas de detecção especializadas

O mercado de detecção de botnets testemunhou um crescimento substancial nos últimos anos devido à crescente utilização de APIs em vários negócios online, nomeadamente jogos, comércio electrónico e outros. Assim, monitorar continuamente as solicitações de API, implementar uma arquitetura de confiança zero e implantar técnicas instantâneas de mitigação de bots ruins são algumas maneiras de proteger APIs contra ataques de bots.

De acordo com a análise da Data Bridge Market Research, o mercado global de detecção de botnet deverá crescer a uma taxa composta de crescimento anual (CAGR) de 38,30% de 2022 a 2029.

Para saber mais sobre o estudo, acesse:https://www.databridgemarketresearch.com/pt/reports/global-botnet-detection-market

• Firewalls de aplicativos da Web (WAF): Esses dispositivos bloqueiam o tráfego conhecido por explorar vulnerabilidades conhecidas ou suspeitas de explorar vulnerabilidades de aplicativos da web. O surgimento rápido e furtivo de novas vulnerabilidades torna os WAFs cruciais porque quase nenhuma organização consegue detectá-los por conta própria
• Gerenciamento dos componentes essenciais do processo de criptografia SSL/TLS, como criação de chaves privadas, renovação de certificados e revogação de certificados por falhas de terceiros. Isso elimina a chance de que certos componentes sejam perdidos e exponham tráfego confidencial
• Gateways de API: Essas ferramentas podem encontrar "APIs ocultas" omitidas e interromper o tráfego que se sabe ou se acredita ter como objetivo explorar vulnerabilidades de API. Eles ajudam a gerenciar e acompanhar o tráfego da API

O mercado de gerenciamento de interfaces de programação de aplicativos (API) testemunhou um crescimento substancial nos últimos anos devido à crescente necessidade de APIs para aprimorar a transformação digital e ao desenvolvimento de gerenciamento de API híbrido e multi-nuvem para que as empresas atendam à demanda dos usuários, o que complementará ainda mais o crescimento do mercado no período de previsão. De acordo com a análise da Data Bridge Market Research, o mercado global de análise preditiva deverá crescer a uma taxa composta de crescimento anual (CAGR) de 31,05% de 2023 a 2030.

Para saber mais sobre o estudo, acesse:https://www.databridgemarketresearch.com/pt/reports/global-api-management-market

• DNSSEC: Uma tecnologia que garante que a comunicação DNS para uma aplicação web seja direcionada adequadamente aos servidores certos, protegendo os usuários de serem interceptados por um invasor no caminho
• Segurança do lado do cliente: Isso ajuda as organizações a detectar comportamentos maliciosos mais cedo, verificando novas dependências de JavaScript de terceiros e alterações em códigos de terceiros.
• Gerenciamento de superfície de ataque: Use um local para mapear sua superfície de ataque, encontrar possíveis problemas de segurança e mitigar rapidamente esses riscos usando ferramentas acionáveis ​​de gerenciamento de superfície de ataque

Práticas ideais para segurança de aplicativos para diferentes empresas

• Fornecendo autorização e autenticação seguras: Regras fortes de segurança de senha incorporadas e aplicadas, opções para autenticação multifatorial que incluem chaves físicas, recursos de controle de acesso e outros procedimentos tornam mais difícil para os invasores obterem acesso não autorizado a contas de usuários e se moverem lateralmente dentro do seu aplicativo
• Exigindo Validação de Entrada: Impedir que códigos prejudiciais entrem no aplicativo por meio de um ataque de injeção, evitando que dados formatados incorretamente sejam processados ​​pelos fluxos de trabalho do aplicativo
• Utilizando as técnicas de criptografia mais recentes: Armazenar dados do usuário em um formato criptografado e utilizar HTTPS para criptografar a transmissão do tráfego de entrada e saída ajudam a prevenir o roubo de dados por hackers
• Documentação de alteração de codificação: Isso permite que as equipes de segurança e desenvolvimento resolvam rapidamente vulnerabilidades recém-descobertas
• APIs de monitoramento: Existem ferramentas para encontrar 'APIs sombra' que passaram despercebidas, mas podem ser uma superfície de ataque; no entanto, a segurança da API fica mais simples se as APIs nunca forem perdidas.

Utilização de serviços de controles críticos de segurança (CIS) em diferentes setores

Empresas de vários setores, inclusive aquelas com regulamentações rígidas, podem usar o Bot Management e outros produtos CIS com tecnologia Cloudflare para atender às demandas de segurança, desempenho e resiliência. Por exemplo:

• Assistência médica – De acordo com o relatório IBM Cost of a Data Breach, o custo médio de uma violação de dados no setor da saúde aumentou de 10,10 milhões de dólares em 2022 para 10,93 milhões de dólares em 2023, o que representa um aumento de 8,2%. Os serviços CIS são ainda mais essenciais para ajudar a impedir estes ataques dispendiosos porque os cuidados de saúde têm o maior custo por violação de dados pelo décimo terceiro ano consecutivo. Os clientes do setor de saúde podem usar a combinação de CIS DDoS, WAF e gerenciamento de bots para ajudar a mitigar ataques sofisticados de bots de malware
• Serviços financeiros - Os bancos e outras instituições financeiras podem empregar serviços CIS, como mitigação de DDoS e Web Application Firewall (WAF), para resolver problemas de segurança. Os clientes podem defender seus aplicativos voltados para a Internet contra diversas explorações, incluindo ataques do dia zero, utilizando políticas prontas de Web Application Firewall (WAF).
• comércio eletrônico - O uso crescente de APIs no comércio eletrônico também levantou a possibilidade de problemas de segurança com APIs. Os gateways de API podem ser protegidos por organizações de comércio eletrônico que usam serviços CIS para proteção contra DDoS
• Ensino superior - Grandes quantidades de dados sobre todos os estudantes, professores e antigos alunos são alojadas por organizações educativas nas suas extensas redes, especialmente instituições de ensino superior. Os cibercriminosos podem então utilizar estes dados para promover os seus ataques a alvos específicos ou esquemas de maior escala contra instituições como um todo.
• Construção - O negócio da construção é atormentado por trabalhadores “propensos a phishing”. O tipo de dados que a indústria da construção reúne serve de inspiração para tais ataques. Os ciberataques estão interessados ​​em dados pessoais e informações valiosas, como segredos comerciais, cronogramas de construção, estimativas de custos e propostas de projetos, entre outros. As informações comerciais roubadas podem resultar em ferimentos graves e perdas financeiras. O quadro de controlo do CIS aborda problemas e fraquezas que existem no sector
• Automotivo - A indústria automóvel vê hoje os veículos conectados e autónomos como máquinas inteligentes que recolhem grandes quantidades de dados de telemetria. Esta indústria tem um motivo para olhar mais de perto a segurança da API devido a vazamentos de vulnerabilidades e explorações de prova de conceito baseadas em API
• Empresas de pequeno e médio porte não representam uma indústria, pois podem pertencer a qualquer subcategoria. Embora possa parecer lógico que os hackers se sintam menos atraídos por “organizações” mais pequenas, activos relativamente menos valiosos do que as empresas maiores, isto está longe de ser o caso. De acordo com dados da Verizon, as pequenas empresas estiveram envolvidas em surpreendentes 28% de todas as violações de dados em 2020. As pequenas empresas têm frequentemente menos dinheiro e processam menos dados do que as grandes empresas, mas também têm soluções de segurança menos fiáveis. Além disso, muitas pequenas empresas dispõem de pouca ou nenhuma segurança cibernética.

Iniciativas estratégicas tomadas por diferentes empresas

• Em agosto de 2023, a Cloudflare afirmou que o IBM Cloud Internet Services (CIS), desenvolvido pela Cloudflare, aumentou a gama de serviços que oferece, incluindo Cloudflare Bot Management, que agora está acessível para empresas no Plano Enterprise Premier para ajudá-las a enfrentar e neutralizar a crescente ameaça representada pelo tráfego prejudicial de bots
• Em junho de 2023, SecureIQLab, um provedor de validação em nuvem, lançou sua terceira iteração de teste do Web Application Firewall (WAF 3.0). Os primeiros casos de teste de segurança de API serão incluídos nesta versão. As soluções de segurança líderes de mercado serão avaliadas pelo WAF 3.0 quanto à sua capacidade de sobreviver ao complexo cenário atual de ameaças cibernéticas
• Em maio de 2023, a Radware revelou uma nova solução Cloud Web DDoS Protection. As técnicas modernas de mitigação de DDoS estão sendo superadas por uma nova geração de ataques HTTPS Flood de camada 7 (L7) mais agressivos, comumente chamados de ataques Web DDoS Tsunami. Esta abordagem pretende colmatar esta lacuna. Minimiza falsos positivos e oferece ampla cobertura de ataque contra ataques de dia zero e ataques mais avançados
• Em abril de 2023, Edgio criou um gerenciamento avançado de bots que fornece observabilidade de bots bons, ao mesmo tempo que mitiga proativamente uma variedade de bots ruins emergentes. O Advanced Bot Manager usa aprendizado de máquina para identificar bots com base em assinaturas e impressões digitais comportamentais, aproveitando os vastos volumes de dados coletados continuamente na grande implantação global da plataforma. Para analisar todo o tráfego de bots em tempo real em toda a rede global Edgio, a solução é executada nativamente em todos os servidores
• Em outubro de 2022, a Akamai lançou uma solução de proteção distribuída contra negação de serviço (DDoS) chamada Prolexic, uma nova plataforma de sexta geração. É uma arquitetura escalável, de alto desempenho e totalmente definida por software que melhora a capacidade de atender às novas necessidades dos consumidores e aos futuros requisitos de segurança cibernética

Conclusão

À medida que as empresas migram para a nuvem, permitindo a digitalização de enormes conjuntos de dados, serviços e bens, a segurança das APIs se tornará cada vez mais crucial em 2023 e além. Com essa mudança, a superfície de ataque de APIs vulneráveis ​​aumenta, exigindo a necessidade de fortalecer os serviços de API para proteger operações comerciais, clientes e dados. Na comunidade de segurança cibernética e em muitas organizações, a segurança de APIs está subindo na lista de prioridades. A segurança da API é agora uma questão crucial, uma vez que APIs expostas ou configuradas incorretamente oferecem uma excelente chance para os agentes de ameaças se infiltrarem em uma rede.