O crescimento contínuo nos ataques em APIs não é surpresa para aqueles que conhecem suas vulnerabilidades inerentes. A combinação perigosa de medidas de segurança inadequadas e a natureza proprietária das APIs tornam essa tecnologia um ponto focal para invasores e resulta em violações constantes, que ocorrem em quase todos os lugares e tipos de empresas.

O fato das APIs estarem envolvidas diretamente na comunicação entre diversos sistemas é motivo suficiente para que a organização se preocupe com a integridade de seus dados enquanto são transferidos para outros dispositivos. Garantir a segurança de suas APIs é garantir que somente aplicativos e desenvolvedores autorizados possam se comunicar com suas APIs e ter acesso aos dados transferidos por elas.

Ataques recentes provam que ninguém está seguro: a British Airways foi forçada a lidar com uma multa recorde de US$ 229,5 milhões após uma violação de dados. O US Postal Office (Serviço de Correios dos EUA) foi mais uma vítima, assim como gigantes das telecomunicações, como a T-Mobile e a Verizon, tiveram dados de clientes roubados por meio de violações de API. Outra organização atacada foi a Panera Bread, uma cadeia de lojas americana de restaurantes casuais, padaria e café com mais de 2.000 lojas nos Estados Unidos e Canadá, que tinha endpoints de API não autenticados e sofreu uma ampla violação de dados que permitiu que os invasores acessassem as informações de qualquer cliente que já tivesse pedido comida online da empresa¹.

No Brasil, em  2019 uma operadora de telecomunicações foi multada em milhões de Reais pela Secretaria Nacional do Consumidor (Senacom) por uma falha de segurança em uma API de sua plataforma, que afetou milhares de clientes que tiveram informações como nome completo, CPF, número de celular e data de nascimento expostos pela operadora².

Outra operadora esteve envolvida num caso mais recente, quando divulgada uma falha de segurança no portal de serviços da mesma, que deixava expostos dados de 24 milhões de assinantes e interessados em assinar algum dos serviços².

De acordo com o relatório Top 10 API Security Vulnerabilities criado pelo Open Web Application Security Project (OWASP), quanto mais popular é o uso dessa tecnologia, mais ela muda o cenário de segurança e requer uma nova abordagem com soluções de segurança mais avançadas. A pesquisa API Security: What You Need to Do to Protect Your APIs do Gartner reafirma esse fato e prevê que até 2022, os ataques relacionados com APIs se tornarão a forma mais frequente de abuso, levando a um número maior de violações de dados.

O que há de diferente nas ameaças de segurança de APIs?

As APIs são um dos alvos prediletos dos hackers, principalmente pelo elevado volume de dados sensíveis e quantidade significativa de usuários que podem ser atingidos.

As ameaças direcionadas para as APIs tiram proveito das vulnerabilidades dos aplicativos para acessar os dados. Esses ataques geram scripts e automatizam o processo com facilidade e, como cada API é proprietária, os hackers podem confiar nas informações envolvidas para executar seus planos de ataque. Com exceção dos aplicativos bancários e alguns outros, geralmente não há nenhum componente do lado do cliente e, portanto, os métodos de proteção tradicionais como Captcha, SDKs ou uso de JavaScript não funcionarão. Isso deixa as APIs expostas a riscos, mesmo que parcialmente.

O relatório “Top 10 Trends in Cybersecurity, 2020: More Ransomware, Evolving Strategies, and New Tools” do Aite Group mostra que os CISOs estão em busca de soluções de segurança de API para resolver esse problema. Para ajudar nessa tarefa, reunimos a seguir as perguntas mais importantes a serem feitas ao avaliar diferentes opções e tentar encontrar a melhor solução de segurança de API para sua organização:

1. Esta solução fornece a visibilidade necessária?

A regra aqui é que você não pode lutar contra o que não pode ver. Pontos cegos de segurança são sempre um grande problema, especialmente ao examinar alvos para ataques de API que podem parecer totalmente confiáveis para os desenvolvedores. A visibilidade inadequada cria vulnerabilidades porque as equipes de segurança simplesmente não conseguem ver quais ameaças estão vindo na sua direção e não podem proteger adequadamente seus sistemas. Isso é especialmente verdadeiro quando se trata de ameaças internas, que crescem em um ritmo rápido, mas permanecem invisíveis para os mecanismos de segurança da empresa.

2. Quais são os recursos de prevenção da solução?

Detectar ameaças é uma etapa importante, mas é apenas a primeira. A solução escolhida deve ser capaz de mitigar a ameaça, mapeando quaisquer anomalias significativas e impedindo a entrada nos ativos essenciais da organização. Para que isso funcione sem problemas, a solução deve ser inteligente o suficiente para diferenciar entre transações normais e incomuns com base nas políticas específicas da empresa, e alertar as tecnologias necessárias e os membros da equipe a tempo. Também é preciso definir quais são os comportamentos suspeitos que exigem bloqueio imediato e quais são os que se deve primeiro enviar um alerta e permitir que a equipe de segurança os avalie e bloqueie.

3. Em qual estágio do processo de desenvolvimento a solução de segurança deve entrar em ação?

É preciso pensar nos detalhes para a segurança nas partes iniciais do ciclo de desenvolvimento, em vez de esperar que os problemas sejam levantados no estágio de produção. Durante a etapa de desenvolvimento, por exemplo, é possível usar feedbacks relevantes que resultarão em um produto mais seguro. Os ambientes de teste podem se concentrar na detecção de bugs e vulnerabilidades características de cada API proprietária.

Em outras palavras: nunca é cedo demais para começar a pensar sobre segurança e trabalhar para melhorá-la.

4. Quão precisa é esta solução de segurança?

Os dados das APIs são estruturados em diferentes hierarquias, por isso devemos perguntar quais serão analisadas pela solução de segurança em questão. Os dados da API serão investigados ou apenas os metadados, que podem ser insuficientes? Dependências entre objetos de dados devem ser levadas em consideração, bem como sua natureza sequencial, para se obter uma imagem mais completa e que leve a menos vulnerabilidades.

5. A solução oferece recursos de automação?

Não importa a solução que você escolha, certifique-se de que ela oferece recursos de automação. É importante usar uma tecnologia de segurança capaz de aprender automaticamente com o comportamento funcional da API e criar modelos que se encaixam perfeitamente. Tente alcançar um alto nível de monitoramento e automação de mitigação ensinando à solução a lógica de negócios por trás de sua API, eliminando erros humanos e obtendo procedimentos mais rápidos e descomplicados.

6. Qual a complexidade do processo de integração?

Esta é uma pergunta obrigatória quando se trata de qualquer solução de segurança, incluindo para as APIs. Quando consideramos a complexidade das APIs, um processo de integração perfeito é crucial. Por isso, é importante avaliar a experiência do fornecedor na implementação de soluções especializadas em APIs.

Como o processo geralmente inclui a detecção inicial pela solução de tecnologia, que é seguida por uma confirmação específica realizada pela equipe de desenvolvimento da empresa, todo o processo de implantação deve ser considerado e não apenas a primeira integração técnica. É preciso existir uma sinergia sólida entre as diferentes equipes envolvidas e a tecnologia que irá apoiá-las.

Como a solução ImVision se enquadra?

A Imvision é uma solução especializada em proteção de APIs para empresas, apresentando uma abordagem holística que detecta e evita ataques relacionados com APIs desde os estágios iniciais. A solução estuda a lógica de negócios e oferece recursos de automação relevantes para procedimentos de monitoramento e mitigação.

Sua tecnologia baseada em Inteligência Artificial (IA) e Processamento de Linguagem Natural (NLP) trata os diálogos de API como uma linguagem e usa algoritmos avançados para formar modelos de baixo custo, que entendem as relações complexas entre os dados. Com isso, os CISOs conseguem obter total visibilidade e controle sobre todo o ciclo, desde a codificação até a produção.

Em um estudo³ de 2019, o Gartner reforça o fato de que proteger APIs usando uma solução genérica de segurança é ineficaz. Podemos observar que as empresas estão percebendo que precisam de uma solução que considere as características específicas de suas APIs, desafios e metas de negócios, para proteger totalmente a organização.

Ao avaliar as opções de mercado com base nas perguntas que sugerimos acima, ficará mais fácil encontrar a solução certa para sua organização com maior rapidez e precisão.

Clique aqui e entre em contato com um de nossos especialistas para ajudar sua organização a blindar suas APIs contra ataques.

Referências:

[1]  “Security investigation: 6 questions to ask before choosing your API security solution”, Imvision, 2020.

[2] “Por que se fala tanto de Segurança de APIs? Conheça os motivos e casos de vazamento”, David Ruiz, 2019.

[3] “API Security: What You Need to Do to Protect Your APIs”, Gartner, 2019.