APIs estão colocando sua empresa em risco

APIs estão colocando sua empresa em risco. Precisamos garantir uma segurança de API mais forte em aplicativos móveis, ou todos os seus benefícios serão inúteis.

Superficialmente, as APIs ajudam as empresas a conectar aplicativos e compartilhar dados entre si. Isso cria uma experiência mais fácil e contínua para clientes e usuários. Se você já usou sua conta do Google para fazer login em vários sites ou aplicativos, é provável que esteja usando uma API desenvolvida pelo Google para fazer isso. APIs como essa funcionam em segundo plano para potencializar grande parte da experiência simplificada do usuário que é tida como certa. Portanto, precisamos garantir uma segurança de API mais forte em aplicativos móveis, ou todos os seus benefícios serão inúteis.

As chaves de API roubadas são as culpadas por alguns dos maiores ataques cibernéticos até hoje. Vemos as manchetes e lemos as notícias, mas muitas vezes não conseguimos perceber as consequências gerais – particularmente os impactos notáveis ​​na segurança móvel corporativa. Considere as notícias no início deste ano de mais de 3.000 aplicativos móveis vazando as chaves de API do Twitter , o que significa que pessoas mal-intencionadas podem comprometer milhares de contas individuais e realizar uma série de atividades nefastas.

Imagine se esta fosse a sua empresa e o papel fosse invertido e centenas ou até milhares de aplicativos móveis vazassem as chaves de API para suas contas corporativas do Gmail, Slack ou OneDrive. Se esse ou outros cenários semelhantes acontecessem, os dispositivos dos funcionários e os dados confidenciais da empresa estariam em risco extremo.

O recente esforço para focar na segurança da API ocorre em um momento crítico em que mais empresas estão contando com a mobilidade corporativa, o que significa aumentar a dependência da conectividade de aplicativos móveis. Uma pesquisa recente com diretores de segurança e desenvolvedores de aplicativos móveis baseados nos EUA e no Reino Unido constatou que 74% dos entrevistados achavam que os aplicativos móveis eram essenciais para o sucesso dos negócios. Além disso, os aplicativos móveis também foram encontrados para ajudar as empresas a obter receita e permitir que os clientes acessem os serviços.

Além disso, 45% dos entrevistados nesta mesma pesquisa disseram que um ataque contra APIs que colocassem um aplicativo móvel offline teria um impacto significativo em seus negócios. Esses resultados apenas confirmam o que já sabemos – os aplicativos móveis são essenciais para a mobilidade e a produtividade da empresa.

Os riscos de segurança da API podem levar ao controle total do dispositivo

Embora as APIs tenham muitas vantagens, seu uso onipresente em aplicativos móveis também é uma desvantagem evidente. Isso é especialmente verdadeiro quando você considera que muitas empresas dependem de aplicativos e APIs de terceiros. Se você acha que esses terceiros têm as mesmas preocupações e procedimentos de segurança que você e sua empresa, pense novamente. Os terceiros geralmente são os culpados por violações de dados, como ficou evidenciado recentemente quando um hack de terceiros causou uma grande violação de dados à maior empresa de telecomunicações da Austrália – os custos do impacto ainda estão sendo quantificados.

Para tornar as coisas mais difíceis para as empresas, os aplicativos móveis – e especialmente as APIs que os alimentam – costumam ser mais suscetíveis a ataques cibernéticos do que as páginas da Web em um computador. Sempre que um aplicativo é usado, mesmo que esteja rodando em segundo plano, ele envia e recebe dados por meio de chamadas, que é quando seu aparelho está mais vulnerável.

Um agente de ameaça pode explorar essas chamadas ou solicitações de API de e para o dispositivo para o aplicativo para roubar dados. Como um aplicativo reside no próprio dispositivo, um agente de ameaça tem o potencial de sequestrar todo o dispositivo, colocando em grande risco as informações armazenadas nele. Não importa se o dispositivo é de propriedade da empresa ou pessoal (BYOD), posso garantir que provavelmente há alguma forma de dados corporativos armazenados em todos os dispositivos aos quais um funcionário tem acesso.

Protegendo dados e dispositivos móveis corporativos contra vulnerabilidades de API

Essas APIs vulneráveis ​​não são apenas uma ameaça aos lucros, reputação e viabilidade das empresas, mas também a seus dados confidenciais e aos de seus clientes e parceiros.

Felizmente, existem maneiras de se proteger contra essas ameaças. Primeiro, concentre-se em criar um entendimento compartilhado das ameaças enfrentadas pelos aplicativos corporativos, o que é importante para a definição de nível. Isso gerará uma maior conscientização do fato de que os aplicativos móveis corporativos que os funcionários têm em seus telefones abrem os dados da empresa para exfiltração – a menos que esses aplicativos sejam gerenciados ou claramente segregados.

Um grande passo para se proteger melhor contra APIs vulneráveis ​​é desenvolver uma estratégia em que os dados sejam separados do próprio dispositivo. Esse processo é mais conhecido como conteinerização. Aproveitar os recursos avançados de criptografia e garantir que os dados estejam protegidos no estágio de sua jornada, em trânsito e em repouso é outro fator crítico. Eu recomendo utilizar a criptografia AES de 265 bits.

Além disso, as organizações devem procurar incorporar processos de autenticação mais fortes para proteger dados confidenciais.

Conclusão

Existem inúmeros desafios apresentados por agentes de ameaças que procuram explorar as vulnerabilidades da API. Esses desafios só aumentarão à medida que a superfície de ataque da API continuar a crescer. Embora essas preocupações possam parecer assustadoras no início, as empresas podem tomar medidas proativas para proteger seus aplicativos e dispositivos corporativos.

Construir segurança adicional no processo de desenvolvimento é um grande passo, mas às vezes é um luxo que as empresas que dependem de aplicativos de terceiros não podem pagar ou ter uma visão. É por isso que é imperativo que as empresas pensem estrategicamente em como esses aplicativos interagem com os dados corporativos e criem etapas de autenticação adicionais que os protejam.

Fonte: HelpNetSecurity por Jonas Gyllensvaan, CEO, SyncDog

Veja também:

Sobre mindsecblog 1947 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!