No coração da inovação digital, as APIs têm se tornado o alicerce invisível que sustenta a interconectividade e a eficiência das aplicações modernas. Entretanto, à medida que elas passam a representar mais de 71% de todo o tráfego da web, o desafio de visibilidade cresce ainda mais para a Cibersegurança.
O recente estudo “O estado da segurança de APIs em 2024”, divulgado pela Imperva, lança luz sobre esta problemática, revelando que as empresas estão lidando com uma média de 29 APIs shadow por conta analisada. Estas APIs, não documentadas ou desconhecidas, ampliam a superfície de ataque sem o conhecimento das organizações, apresentando um cenário alarmante onde os gestores de segurança são desafiados a proteger o que não podem ver.
Os líderes de SI do grupo Security Leaders entendem que esse cenário pode ser ainda mais crítico do que o captado pelo estudo, considerando a enorme facilidade em se orquestrar novas APIs para a estrutura de dados. Por ser um elemento essencial para o negócio, o risco de o setor de Cyber perder espaço no desenvolvimento das APIs é alto.
Neste cenário, os gestores de Segurança têm um papel crucial a desempenhar, segundo o estudo, e três ações emergem como fundamentais para fortalecer a segurança das APIs: implementação de processos rigorosos de descoberta e inventário, o reforço das medidas de autenticação e autorização e o estabelecimento de sistemas robustos de monitoramento e análise contínua.
Essas medidas visam não apenas identificar e proteger as APIs contra ataques externos, mas também garantir que os dados sensíveis manipulados por essas interfaces permaneçam seguros.
Na visão dos CISOs, esse processo deve vir acompanhado de maior conscientização do business em relação às APIs. A corporação deve compreender que não levar em conta um padrão alto de segurança não fará a tecnologia ser entregue com mais rapidez, mas a deixará expostas a diversos tipos de ameaças, capazes de comprometer as atividades do negócio.
Um desses principais vetores de ataque, relatado pelo estudo, é o abuso da lógica de negócios das APIs, representando 27% de todos os ataques, um aumento de 10% em relação ao ano anterior. Esta modalidade de ataque, muitas vezes perpetrada por bots maliciosos, explora a funcionalidade inerente das APIs para fins maliciosos, desde a exfiltração de dados até a interrupção de serviços críticos.
Melhores práticas
A gestão eficaz da segurança de dados é intrínseca à segurança de API, exigindo uma abordagem holística que aborde tanto a proteção das APIs quanto a dos dados que elas manipulam. A violação de uma única API pode resultar na exposição de informações confidenciais, e dentro deste contexto, a proteção eficaz das APIs é intrinsecamente ligada à segurança das informações que elas processam e transmitem.
Algumas das ações específicas que os gestores de segurança podem tomar para garantir a proteção dos dados incluem:
Classificação e Avaliação de Risco dos Dados: Identificar e classificar os dados acessados e manipulados pelas APIs, avaliando sua sensibilidade e o risco associado ao seu acesso e processamento. Isso ajuda a definir prioridades nas medidas de segurança.
Implementação de Controles de Acesso Baseados em Menor Privilégio: Garantir que os controles de acesso estejam em vigor para limitar o acesso aos dados apenas às partes que necessitam deles para suas funções, reduzindo assim o risco de exposição indevida.
Criptografia e Segurança em Trânsito e em Repouso: Utilizar criptografia forte para proteger os dados enquanto eles estão sendo transmitidos através de APIs e também quando estão armazenados, prevenindo a exposição de dados em caso de intercepção ou acesso não autorizado ao armazenamento de dados.
