A segurança de API é uma das grandes demandas na Cibersegurança e um dos pontos mais importantes para as estratégias de proteção. Segundo dados do estudo State of APIs, realizado pela Postman a partir de entrevistas online com 40.000 profissionais de TI, 30% dos respondentes indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações. Outro levantamento realizado pela Salt Security ouviu 300 CISOs em todo mundo e 40% dos líderes no Brasil identificam a proteção de APIs como a principal lacuna no controle de segurança.
Globalmente, 37% dos CISOs enxergam a proteção de APIs como um grande desafio para 2024 decorrente da transformação digital, especialmente com o avanço da Inteligência Artificial. Uma pesquisa da Sequoia Capital apontou que, em 2023, 94% dos entrevistados estavam usando APIs como modelo fundamental de suas aplicações de IA.
“As APIs são um capacitador chave da IA. Não é possível disponibilizar uma API para ser consumida sem controles ou mecanismos de segurança robustos e eficientes. Conscientes do poder das APIs nos ecossistemas empresariais, os criminosos digitais elegeram essas linguagens como um alvo crítico neste ano”, diz Rafael Sampaio é Solutions Engineer da F5 Brasil.
Na visão da Daniela Costa, Diretora para a América Latina da Salt Security, a segurança de API é um tema relativamente recente e muitas organizações ainda não implementaram proteção adequada nesta camada. “As APIs são rotas que conectam os aplicativos aos sistemas das empresas e por onde trafegam todos os dados pessoais. Por isto, os cibercriminosos enxergam uma grande oportunidade para realizar explorações que levam a fraudes digitais e vazamentos de informações sensíveis”, enfatiza.
Ainda de acordo com a pesquisa da Salt Security, 92% dos CISOs brasileiros pretendem priorizar a segurança de API nos próximos dois anos. Isso demonstra que o tema é, de fato, um dos grandes assuntos nas agendas dos CISOs. “Cada vez mais testemunhamos casos de empresas que sofreram penalizações por falta de cumprimento à LGPD com seus nomes divulgados na mídia associados a grandes vazamentos de informações sensíveis por explorações em APIs. Não podemos esquecer que os prejuízos vão muito além do simples impacto financeiro”, destaca Daniela.
Também vale a pena observar que 70% dos CISOs brasileiros admitem que suas organizações estão dando mais prioridade à segurança de APIs do que há apenas dois anos, o que destaca não apenas a rapidez com que o uso de APIs cresceu, mas também a crescente consciência das organizações atuais sobre a necessidade de protegê-las.
Falando dessas perspectivas, Daniela acredita que 2024 será o ano do investimento em segurança de APIs, onde as organizações não poderão correr os riscos associados aos ataques lógicos, cada vez mais comuns, mais críticos e mais impactantes. Ela acrescenta que proteger as APIs traz benefícios comerciais reais como redução de riscos, mitigação de despesas e oportunidades de aumento de receita.
Desafios
Rafael Sampaio destaca também que a quantidade de organizações enfrentando incidentes e vazamentos de dados via APIs é crescente: 74% reportaram pelo menos 3 vazamentos de dados relacionados a APIs nos dois últimos anos; 31% sofreram uma exposição de dados sigilosos e 17% sofreram um vazamento de dados resultante de brechas na segurança de APIs; e 78% das empresas reportaram um incidente de segurança de API em 2023. “Não é por acaso, portanto, que CIOs e CISOs de organizações trilhando a jornada de IA estejam priorizando a proteção dessas aplicações”, reforça.
Para a executiva da Salt Security, entre os principais obstáculos a serem superados estão a necessidade de conscientização de que os ataques às APIs são distintos dos convencionais. Em sua avaliação, eles não podem ser detectados por soluções tradicionais de segurança baseadas em regras como WAFs. “Os Firewalls para Aplicações WEB simplesmente não conseguem entregar proteção às APIs”, explica.
Ela pontua que os mais comuns são aqueles que buscam abusar da lógica de negócios, explorando vulnerabilidades específicas que podem ser exploradas de formas distintas. “Por isso é importante focar nas melhores práticas de desenvolvimento seguro, com inventário granular das APIs e dados sensíveis, além de testes contínuos de segurança, monitoramento e política de proteção”, completa.
“Em relação ao uso das APIs no universo da Inteligência Artificial, é fundamental estudar soluções e serviços que, de forma preditiva e automatizada, bloqueiam o consumo de API de forma maliciosa, acelerando o consumo da API que faz, da IA, terra fértil para o novo”, conclui Rafael Sampaio.
