Dados do Gartner preveem que, até 2050, menos de 50% das interfaces de programação de aplicação (APIs) serão gerenciadas adequadamente mediante crescimento do tráfego de informações. Essa vulnerabilidade ganha destaque no Brasil, quarto maior usuário de APIs para troca de dados entre negócios, segundo o Instituto Postam API Plataform. A aplicação das APIs em sistemas com o PIX e o Open Banking também evidenciam os riscos dos ciberataques para a economia digital.
Nesse cenário, os especialistas da NovaRed, maior conglomerado e provedora pure-player ibero-americano de serviços e soluções em cibersegurança, alertam para a importância dos executivos investirem em gerenciamento de riscos para a proteção dos dados. Considerando que a maioria dos aplicativos atuais demandam da API para funcionamento, é preciso considerar os novos riscos proporcionados pelas conexões de serviços e transferências de dados a terceiros.
“A vulnerabilidade das APIs não é novidade, mas o ponto principal está na sofisticação dos ataques cibernéticos com a aceleração da transformação digital e, consequentemente, os avanços de aplicações para web entre empresas de todos os portes. Embora o foco mais comum do setor de cibersegurança esteja na ameaça dos ataques de ransomware, o crescimento exponencial dos casos direcionados a APIs destaca a necessidade dos executivos acompanharem todas as vertentes vulneráveis do mercado”, destaca Acy Rodrigues, Diretor Comercial da NovaRed Brasil.
Como as APIs são grandes vetores de ciberataques para praticamente qualquer aplicativo ou serviço vigente, a sua segurança envolve, primeiramente, o desenvolvimento de políticas de autenticação e autorização para o compartilhamento legítimo de dados. Segundo Acy Rodrigues, existem algumas medidas que podem amenizar a superfície de risco dessa ameaça emergente entre as organizações:
A defesa deve ir além do seu perímetro
A prevenção não deve considerar somente a superfície do ambiente da sua empresa. O monitoramento e as formas de proteção devem estar distribuídas entre todos os endpoints, serviços, aplicações e demais portas de entrada entre os processos da organização. É fundamental coletar e monitorar dados de diferentes fontes, principalmente envolvendo o compartilhamento de informações com terceiros.
Atenção aos ataques DoS e DDoS
É preciso que a equipe de segurança esteja preparada para casos de ataques de negação de serviço (DoS) ou de negação de serviço distribuída (DDoS). A intenção dos invasores é retardar ou paralisar o serviço ao sobrecarregar o sistema com várias solicitações para a API.
Investimento em segurança de dados
O foco das violações de segurança da API está nos dados. Portanto, é preciso ter um controle mais rígido de acesso com segmentação específica sobre o que as APIs podem fazer e em quais níveis os usuários estão habilitados a acessar. Isso envolve medidas de autenticação que previnam solicitações de fontes ilegítimas. Os serviços de web também demandam uso de assinaturas e criptografia de dados, bem como tokens únicos para identidades confiáveis.
Aplicação de modelos de segurança comportamental
Não há como estabelecer controles de prevenção para todas as variantes de ataques cibernéticos, mas é possível mitigar os riscos com a implementação de modelos de segurança baseados em comportamento que detectem qualquer tipo de atividade anormal dentro do ambiente. Isso permite uma resposta rápida a novas anomalias na interface.
Detecção de ameaças em tempo real
A diversificação de atuação dos cibercriminosos dificulta a inibição total de qualquer ataque direcionado ao seu ambiente ou ao ambiente de parceiros. Ainda assim, a detecção em tempo real de atividades de invasores pode evitar que o ataque ganhe proporções maiores. Isso demanda que a questão de cibersegurança seja vista como prioridade pela empresa para evitar atrasos e negligências em processos internos.
“2023 já é considerado o ‘ano da segurança da API’, então a maturidade cibernética das organizações nessa e demais disciplinas de segurança cibernética precisa acompanhar a realidade crescente dos riscos digitais”, afirma o executivo.