APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º 

APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º 

A cultura de proteção de APIs (Application Programming Interfaces) no Brasil está cada vez mais forte: os CISOs estão preocupados com o desenvolvimento de suas aplicações e a integração entre essas plataformas e Apps rodando em outras organizações. É um quadro onde dados críticos não estão sob o controle do gestor da empresa consumidora desses dados.

Uma API é semelhante a um portador físico encarregado de transportar dinheiro de um lugar para outro. Se esse portador for visto como vulnerável de alguma maneira, o risco de ele ser atacado aumenta muito. Isso é válido também para APIs em ambientes de nuvem.

Há quatro ameaças com forte impacto sobre as APIs

1. Autenticação fraca

Mecanismos fracos de autenticação convidam os atores de ameaças a atacar aplicações na nuvem. Tais mecanismos incluem coisas como senhas rudimentares e acesso sem ter de passar por controles de autorização.

2. Ataques de injeção

APIs inadequadamente protegidas são um convite aberto a certos tipos de ataques de injeção. Um ataque de SQL injetaria código malicioso via chamadas de API para obter acesso não autorizado.

3. Transmissão insegura

APIs inseguras são suscetíveis à transmissão de dados insegura. Quando isso acontece, tudo está em risco – desde credenciais de usuários até informações financeiras.

4. Ausência de limitação de taxa

A limitação de taxa é evita sobrecarregar uma API com solicitações de dados. Quando a limitação de taxa não é utilizada, ataques DDoS e outras estratégias que sobrecarregam as aplicações são facilmente implantadas.

Com o crescente uso de Bots e tecnologias de inteligência artificial por parte dos criminosos digitais, é essencial contar com uma estratégia que seja eficaz nas várias frentes de proteção das APIs. Os atacantes não usam somente um caminho de ataque: usam todos simultaneamente e em alto volume de tentativas de violação.

Eis aqui algumas das melhores práticas para a proteção de APIs:

• Implementar mecanismos fortes de autenticação e autorização. Eles incluem autenticação multifator e políticas Zero Trust. É recomendável utilizar para isso plataformas com tokens seguros – o que substitui métodos de autenticação baseados em senhas. O alinhamento ao RBAC, que assegura que os usuários tenham somente as permissões de acesso a dados necessárias, reforça ainda mais a postura de segurança da organização.
• Programar chamadas de APIs para validar e higienizar meticulosamente os dados. Isso ajuda a prevenir ataques de injeção. O mercado conta com soluções que monitoram e bloqueiam tentativas de injeção, realizando análise contínua do tráfego de APIs para identificar padrões de ataques.
• Criptografar dados confidenciais durante a transmissão (nas duas direções, consumo e publicação de dados) e em repouso. A criptografia retarda os atores de ameaças e torna o sucesso deles questionável. É recomendável trabalhar com soluções que utilizam protocolos seguros como TLS.
• Realizar o gerenciamento de certificados digitais para garantir conexões seguras com as APIs e monitoramento de segurança contínuo dessas conexões.
• Implementar limitação de taxa para impedir que APIs fiquem indisponíveis por excessos de solicitações. Isso bloqueia ataques DDoS.
• Conduzir testes de penetração rotineiros para assegurar que as APIs não estejam vulneráveis. Quando vulnerabilidades são identificadas, resolvê-las imediatamente.

MSSPs podem contribuir com a postura de segurança da empresa usuário

A crescente dependência de dados vindos de APIs tem levado os CISOs a priorizar serviços e soluções de proteção dessas linguagens críticas. Uma característica do nosso mercado – a falta de profissionais de cybersecurity preparados para enfrentar ameaças avançadas – algumas vezes prejudica a eficácia da luta contra o crime.

É nesse contexto que tem crescido cada vez mais o interesse das empresas usuárias por parceiros com grande expertise em cybersecurity, em alguns casos empresas com o perfil de MSSP (Managed Security Services Provider).

Vale a pena analisar ofertas de serviços gerenciados de segurança entregues por equipes com experiência real e comprovada na área. A soma desses dois skills – profissionais continuamente treinados e certificados nas melhores práticas de segurança digital e provedores de serviços com processos bem desenhados – é fortalecida, nos MSSPs, pelo uso de tecnologias de proteção de APIs de última geração. Para o CISO, esta pode ser uma resposta de 360º para o imenso desafio de defender APIs críticas para o negócio e para o crescimento da economia digital do Brasil.

Por: Pedro Bellucci é Channel Sales Manager da Hillstone Brasil

Veja também:

• A evolução da segurança digital no ambiente industrial
• Setor de tecnologia foi o mais afetado por ataques cibernéticos
• O papel do hacktivismo no conflito político
• Aumenta o índice de impacto do malware que mais rouba dados e senhas no Brasil
• Cibercrime usa IA para ampliar ameaças
• IEEE ensina como detectar vídeos falsos e preservar privacidade
• 15% das empresas brasileiras negligenciam treinamento em cibersegurança
• Segurança Cibernética em Smart Cities
• Grande backdoor em milhões de cartões RFID permite clonagem instantânea
• Aumento de 150% nas VPNs no Brasil após o fechamento do X
• Ataques de VPN só aumentarão
• Programa Avança Tech da Pref. SP lança novos Cursos Gratuitos