APIs x Cibersegurança: o que você precisa saber

por Ana Carolina Lahr

Você sabia que 9 em 10 organizações adotaram ou planejam adotar uma estratégia de negócios digital em 2023, sendo que as APIs são o componente essencial dessa estratégia?

O dado foi revelado pela pesquisa do Google Cloud no ano passado. Usadas para conectar aplicativos e microsserviços que os desenvolvedores usam para criar com rapidez produtos e serviços digitais inovadores, as APIs são essenciais para a modernização de aplicativos e transformação digital de qualquer empresa. O valor já é reconhecido por 61% dos líderes de tecnologia entrevistados, que afirmam que elas ajudam a criar experiências digitais e produtos melhores. No entanto, embora a maioria das empresas entenda seu papel fundamental no aumento da eficiência e na melhoria do atendimento ao cliente, junto às APIs surgem também as ameaças cibernéticas relacionadas diretamente a elas, cada vez mais sofisticadas, que visam roubo de dados, interrupção de serviços e exploração de vulnerabilidades. A preocupação fez o quesito segurança ser considerado o componente mais importante no programa de 66% dos entrevistados e também um dos grandes desafios na adoção das APIs por parte dos tomadores de decisão.

E a preocupação vai além. Como as APIs estão incorporadas em todos os serviços digitalizados, elas contribuem para várias lacunas no controle de segurança, uma verdade compartilhada por 40% dos CISOs brasileiros, que consideram a adoção de APIs a principal lacuna no controle de segurança das empresas, de acordo com pesquisa da APIs Salt Security. 

De acordo com relatório, 94% dos participantes da pesquisa tiveram problemas de segurança em APIs de produção no ano passado, com 17% afirmando que suas organizações sofreram uma violação de dados como resultado de lacunas de segurança nas APIs. Dessa forma, a segurança de API se tornou uma discussão que envolve os chefes executivos em quase metade (48%) das organizações entrevistadas.

Considerando que o custo das violações de API põe em risco novos serviços e reputação das marcas, além das operações comerciais, não é de se estranhar o fato de que 95% dos CISOs planejam priorizar a segurança da API nos próximos dois anos, um aumento de 12% em comparação com essa prioridade há dois anos.

Visibilidade

Embora a visibilidade permita monitorar o tráfego de aplicativos e APIs em tempo real, identificando atividades suspeitas ou ataques em andamento, é a falta dela que se torna uma ameaça, já que torna difícil detectar e responder aos riscos identificados.

Os dados da nuvem Salt mostram que 78% dos ataques vêm de usuários aparentemente legítimos, mas que, na verdade, são invasores que alcançaram maliciosamente a autenticação adequada. Das tentativas de ataque, 8% são perpetradas contra APIs internas, normalmente deixadas totalmente desprotegidas.

Embora a grande maioria das organizações ainda não possua programas de segurança de API maduros, com visibilidade adequada as equipes de segurança podem responder rapidamente a incidentes, mitigando o impacto e reduzindo o tempo de inatividade.

Uma das maneiras de superar essa barreira é analisando o comportamento normal de aplicativos e APIs, já que permite identificar desvios que podem indicar atividades maliciosas. Confira outras medidas de segurança que se mostram efetivas nessas situações:

1. Monitoramento Contínuo: implemente soluções de monitoramento contínuo para aplicativos e APIs, garantindo que você tenha visibilidade constante.
2. Análise de Tráfego Criptografado: considere soluções que possam inspecionar o tráfego criptografado para identificar ameaças ocultas.
3. Políticas de Acesso e Controle: estabeleça políticas rigorosas de acesso e controle para limitar quem pode interagir com seus aplicativos e APIs.
4. Treinamento e Conscientização: eduque sua equipe sobre as melhores práticas de

segurança de aplicativos e APIs e mantenha-os atualizados sobre as ameaças mais recentes.

Você já deve ter notado que a cibersegurança é uma responsabilidade contínua mas, à medida que continuamos a abraçar a era digital, adotar melhores práticas de segurança é cada vez mais necessário para proteger dados, serviços e a reputação da organização.

Se você não sabe por onde começar, está na hora de conhecer o Web Security Hub, a primeira plataforma de inovação focada na conexão entre líderes de empresas referências em Segurança Digital para discutir temas relacionados ao desenvolvimento de negócios de internet, sobretudo a segurança e performance online.