Os anos 2020 reescreveram como as aplicações são construídas. O navegador ainda carrega HTML, mas a maior parte do trabalho real acontece por APIs — públicas, de parceiros e internas. Cada API é um contrato; cada contrato tem uma estrutura; cada estrutura pode ser quebrada de maneiras que as regras WAAP clássicas não capturam. Broken object-level authorization, mass assignment, exposição excessiva de dados, autenticação quebrada — o OWASP API Top 10 é uma lista separada porque os padrões de ataque são separados.
A resposta do setor foi uma onda de plataformas de segurança de API puras — quase todas cloud SaaS. Para funcionar, elas precisam que seu tráfego de API seja visível para elas, o que geralmente significa rotear pelo edge delas ou enviar cópias espelhadas. Para setores regulados, implantações soberanas ou qualquer pessoa cujas respostas de API carreguem PII ou dados de pagamento, isso é um problema imediato de conformidade e operacional.
TR7 mantém a segurança de API onde a API realmente vive — na sua plataforma. Discovery, schema enforcement, cobertura OWASP API Top 10, regras conscientes de conteúdo e mascaramento de dados sensíveis rodam on-prem, vinculados ao mesmo vService que entrega a API. O mesmo console que você usa para WAAP e entrega também cobre a segurança de API.
Cada um tem valor por si só. Juntos, definem como a segurança de API se parece quando não exige enviar suas APIs para a nuvem de outra pessoa.
A maioria das plataformas modernas de segurança de API é SaaS — elas precisam que seu tráfego e seus schemas sejam visíveis para a nuvem delas. TR7 roda no seu hardware. Os schemas que você carrega, o inventário que aprendemos e as respostas que inspecionamos nunca saem da sua rede.
Cobertura completa do OWASP API Security Top 10 — broken object-level authorization, broken authentication, exposição excessiva de dados, mass assignment, misconfiguration de segurança e os demais. Cada detecção mapeada para CWE (100+ códigos), CAPEC (30+ padrões) e MITRE ATT&CK (30+ técnicas) para que chegue ao seu SOC na mesma taxonomia que ele já usa.
Endpoints de API surgem automaticamente por observação passiva do tráfego. O operador revisa o inventário antes de colocá-lo em produção. Schemas OpenAPI podem ser carregados diretamente ou aprendidos a partir do tráfego; o enforcement é um modelo de segurança positiva que valida método, path, parâmetros e corpo contra o contrato — qualquer coisa fora do contrato é registrada ou bloqueada.
Rate limit, desafio ou bloqueio sobre qualquer atributo de tráfego — valores de headers, conteúdo de cookies, parâmetros de URL, até valores parseados de corpos JSON. Exemplo: aplicar rate limit diferente a um endpoint de pesquisa quando o corpo define 'tier: free' versus 'tier: enterprise'. Tudo configurado no construtor de regras visual; sem linguagem de scripting.
PII, dados de pagamento, credenciais e outros padrões sensíveis são identificados nas respostas de API e mascarados por política antes de chegarem ao cliente — mantendo contexto útil (últimos quatro dígitos, e-mail parcial) onde você escolher, ocultando o restante. Mesmo modelo de configuração do restante das suas regras.
Cada capacidade abaixo faz parte da plataforma e se conecta aos seus vServices existentes.
A observação passiva do tráfego expõe cada endpoint realmente em uso, incluindo APIs shadow e não documentadas. O operador revisa o inventário e confirma o que deve ser rastreado, mantendo o catálogo preciso sem necessidade de manutenção manual.
Carregue uma especificação OpenAPI ou deixe o TR7 aprender uma a partir do tráfego observado. O enforcement valida método, path, parâmetros e formato do corpo da requisição contra o contrato; divergências registram ou bloqueiam por política. Modelo de segurança positiva — qualquer coisa fora do contrato é rejeitada, incluindo tentativas de injeção e mass assignment.
Cobertura 10/10 do OWASP API Top 10 — broken object-level authorization, broken user authentication, exposição excessiva de dados, falta de recursos e rate limiting, broken function-level authorization, mass assignment, misconfiguration de segurança, injeção, gerenciamento inadequado de ativos e logging insuficiente.
Cada detecção de API mapeia para seu código CWE, padrão CAPEC e técnica MITRE ATT&CK. Correlação SIEM, resposta a incidentes e relatórios de conformidade usam a mesma taxonomia que sua equipe de segurança já utiliza.
Rate limits diferentes para /login, /search e /export da mesma API. Restrições no nível de método (GET permitido, POST bloqueado) por endpoint. Tudo com escopo para o vService que entrega a API.
Rate limit, desafio ou bloqueio sobre qualquer atributo de tráfego — valores de headers, conteúdo de cookies, parâmetros de URL, valores de corpo JSON parseados. Configurado visualmente; sem linguagem de scripting proprietária para aprender.
Identifique PII (nomes, e-mails, IDs nacionais), dados de pagamento (números de cartão, IBANs), credenciais e dados de saúde em respostas de API. Mascare por política antes da entrega ao cliente — mantenha o prefixo ou sufixo útil, oculte o restante — ou bloqueie a resposta completamente quando os dados nunca deveriam ter sido servidos.
Validação de JWT, mTLS, OAuth2 e OIDC na borda da API, delegada à camada de gerenciamento de acesso do TR7. As mesmas políticas de identidade que protegem aplicações web protegem APIs.
O mesmo motor comportamental usado para WAAP e gerenciamento de bots pontua o tráfego de API — impressões digitais TLS, reputação de IP em 23 categorias, ritmo e forma das requisições. O baseline comportamental se adapta ao uso normal de API da sua aplicação.
HTTP flood, slowloris e floods de bots direcionados à aplicação absorvidos na camada WAAP — aplicados com limiares cientes de API por endpoint. Com escopo por vService.
Padrões de credential stuffing atingem endpoints de login de API, não apenas formulários web. A mesma detecção ATO que protege superfícies de login web protege /api/v1/login — tentativas distribuídas low-and-slow, impossible travel, taxas anormais de criação de sessão.
Cada decisão de requisição de API — permitida, bloqueada, com rate limit, mascarada — é registrada no mesmo console usado para WAAP e entrega. Investigue qualquer requisição de ponta a ponta. Trilhas de auditoria prontas para PCI DSS, HIPAA e outros requisitos de conformidade.
Métricas de API, telemetria de ataques e inventário ficam no mesmo console de operador que o vService, a política WAAP e a visão DDoS. Sem painel separado de segurança de API para aprender.
O OWASP API Top 10 é uma lista separada do OWASP Top 10 web porque os padrões de ataque de API são diferentes. TR7 cobre todos os dez.
Atacantes manipulam IDs de objetos nas URLs para acessar dados pertencentes a outros usuários. Schema enforcement mais verificações de autorização por endpoint tornam as tentativas de BOLA visíveis e bloqueáveis.
Autenticação fraca ou mal configurada em endpoints de API. Validação de JWT, mTLS e OAuth2 na borda da API previnem padrões comuns de bypass.
APIs retornando mais dados do que o cliente precisa. Detecção e mascaramento de dados sensíveis garantem que PII, dados de pagamento e credenciais sejam removidos ou mascarados antes de chegar ao cliente.
APIs sem rate limits são abusadas por bots, scrapers e credential stuffing. Rate limits por endpoint, por método, por tenant e conscientes de conteúdo interrompem o abuso na plataforma.
Funções privilegiadas expostas a usuários não autorizados. Restrições de método por endpoint, combinadas com políticas cientes de identidade, previnem acesso não autorizado a funções.
Atacantes injetam campos que a API não espera para atualizar propriedades sensíveis. O OpenAPI schema enforcement rejeita corpos de requisição com campos inesperados.
Mensagens de erro detalhadas, headers ausentes, endpoints de administração expostos. O discovery expõe esses endpoints; a política aplica padrões seguros para produção.
SQL injection, NoSQL injection, command injection em parâmetros e corpos de API. Assinaturas WAAP mais validação de parâmetros contra o schema bloqueiam tentativas de injeção.
Versões antigas de API, endpoints obsoletos e APIs não documentadas acessíveis em produção. O discovery os expõe; o inventário mantém o panorama atualizado.
Ataques invisíveis para a equipe de segurança. Cada decisão de requisição de API é registrada no mesmo console de entrega e segurança; exportações SIEM usam taxonomias CWE / MITRE.
Schema enforcement rigoroso para APIs de parceiros, mascaramento de dados sensíveis em respostas de contas de clientes, autenticação OAuth2 aplicada na borda da API, logs de auditoria para revisão regulatória.
Respostas de API relevantes para HIPAA e LGPD inspecionadas em busca de PHI; dados sensíveis de pacientes mascarados por política antes de chegarem às aplicações cliente. Implantação on-prem mantém APIs e dados dentro do perímetro hospitalar.
Equipes de engenharia publicam novos endpoints mais rápido do que as equipes de segurança conseguem rastreá-los. O discovery passivo expõe cada endpoint em uso; o inventário confirmado pelo operador mantém o catálogo preciso sem manutenção manual.
Bots de carding, farms de scrapers e credential stuffing atingem endpoints de API. Rate limits por endpoint, regras conscientes de conteúdo e pontuação comportamental de bots detêm o abuso sem bloquear clientes reais.
Regras de residência de dados proíbem inspeção de API por terceiros. A segurança de API on-prem mantém cada byte dentro do perímetro de dados do cidadão; auditorias de conformidade rastreiam cada requisição em um único console.
Centenas de endpoints internos distribuídos entre equipes, frequentemente não documentados. Discovery + schema enforcement transformam uma superfície não rastreada em um catálogo gerenciado sem forçar cada equipe de serviço a configurar um agente SaaS separado.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Gerencie headers CORS de preflight e resposta a partir de uma única regra, sem tocar no código da aplicação.
Inspeção WAAP, identidade mTLS e mascaramento de dados continuam funcionando mesmo enquanto o tráfego flui para backends via TLS.
Transforme campos do corpo JSON e conteúdo JWT em sinais de primeira classe para cada decisão de tráfego.
Uma linguagem de expressões — tráfego, saúde, logging, GTM, segurança e decisões de acesso no mesmo modelo.
3000+ regras, taxonomia OWASP / API Top 10 / CWE, 14 eixos de correlação, rollups por host group + cross-group.
Vá além dos headers — faça o conteúdo do corpo parte da decisão de tráfego e segurança.
Extraia o certificado de cliente do controle de conexão e transforme-o em um objeto de identidade que orienta as decisões de tráfego.
Combine assinatura, pontuação e contexto em um único motor — gerencie ataques conhecidos com confiança.
Mascare dados sensíveis no nível da plataforma antes que cheguem ao usuário ou aos logs.
Extraia um inventário de API do tráfego real; coloque requisições fora do schema permitido sob controle.
Um IP, uma conta, uma chave de API — você decide qual dimensão limitar.
Não trate tráfego GraphQL como um corpo POST simples — capture introspecção, DoS aninhado e padrões de query batching dentro do seu WAAP.
Solicite uma demo ao vivo do TR7 API Security. Vamos executar o discovery no seu tráfego de API, percorrer o fluxo de schema enforcement e demonstrar o mascaramento de dados sensíveis em uma resposta real.