Para o cibercrime todo dia é Black Friday ou Cyber Monday

09/12/2024 mindsecblog Notícias 0

Passada a busca frenética pelas ofertas que geraram a já tradicional corrida dos consumidores ao comércio online sob o guarda-chuva da Black Friday e da Cyber Monday, é tempo de refletir sobre o fato de que para os cibercriminosos todo dia é dia de testar a eficiência das infraestruturas de TI das empresas dos mais diversos segmentos e diferentes portes.

“É um cenário previsível, uma vez que cada vez mais as APIs são empregadas para facilitar as operações de comércio eletrônico, conectando aplicativos móveis, sites e sistemas de back-end para permitir melhores experiências de compra”, destaca Daniela Costa, diretora para a América Latina e Canadá da Salt Security, lembrando que os varejistas formam um grupo de alto risco pois dependem muito de APIs para lidar com ações sensíveis como a autenticação do usuário, gerenciamento de estoques, processamento de pagamentos e integração com serviços de terceiros, como ferramentas de logística ou marketing.

Buscando se posicionar à frente dos concorrentes, as empresas de comércio online apostam na agilidade para colocar suas ofertas o quanto antes para os consumidores. Embora a velocidade de entrada no mercado seja essencial, deixar de priorizar a segurança pode levar a violações devastadoras. “Os cibercriminosos estão bem cientes das vulnerabilidades criadas por essa corrida. APIs sem autenticação adequada ou mecanismos de limitação de taxa podem ser alvo de invasões de contas, roubo de dados ou ataques de negação de serviço”, alerta Daniela Costa.

A executiva identifica quatro armadilhas comuns quando se pensa em segurança de APIs:

Erros de desenvolvimento: práticas de codificação inseguras, como codificação de credenciais confidenciais ou falha na limpeza de entradas, podem deixar as APIs vulneráveis a ataques como injeção de SQL ou cross-site scripting.
Projetos de arquitetura inadequados: APIs mal projetadas podem expor endpoints desnecessários ou não implementar o princípio de privilégios mínimos, aumentando a superfície de ataque.
Configurações incorretas: controles de acesso, configurações de criptografia ou mecanismos de registro mal configurados podem inadvertidamente abrir a porta para usuários não autorizados ou dificultar a detecção de atividades maliciosas.
Falta de proteções de tempo de execução: APIs implantadas em produção sem mecanismos de defesa adequados, como firewalls ou sistemas de detecção de anomalias, são alvos fáceis para invasores oportunistas.

Um programa de governança de postura de API bem elaborado é fundamental para garantir a segurança sem sacrificar a agilidade. Ele deve alinhar desenvolvedores, arquitetos e equipes de DevSecOps com conformidade regulatória, práticas recomendadas e padrões corporativos em todo o ciclo de vida do aplicativo.

Após reconhecer que muitas organizações infelizmente ainda carecem dessa maturidade em suas estratégias de segurança, a executiva afirmou ser fundamental entender que é possível incorporar camadas de segurança sem comprometer a inovação, o que pode ser feito através de uma abordagem proativa que deve incluir:

Teste de segurança automatizado: a integração de ferramentas para verificação de vulnerabilidades de API e pentests em pipelines de CI/CD garantem que os problemas de segurança sejam identificados e resolvidos antecipadamente.
Monitoramento contínuo: o monitoramento em tempo real do tráfego de API pode ajudar a detectar e mitigar ameaças antes que elas aumentem.
Educação e colaboração: Garantir que todas as partes interessadas, de desenvolvedores a executivos, entendam a importância da segurança da API promove uma cultura de responsabilidade compartilhada.

“Uma certeza que podemos ter é a de que os cibercriminosos já estão colocando na mira os lucros gerados pelas vendas das festas de fim de ano e se preparando para atacar durante todos os dias de 2025”, resume Daniela Costa.