A cultura de proteção de APIs (Application Programming Interfaces) no Brasil está cada vez mais forte: os CISOs estão preocupados com o desenvolvimento de suas aplicações e a integração entre essas plataformas e Apps rodando em outras organizações. É um quadro onde dados críticos não estão sob o controle do gestor da empresa consumidora desses dados.
Uma API é semelhante a um portador físico encarregado de transportar dinheiro de um lugar para outro. Se esse portador for visto como vulnerável de alguma maneira, o risco de ele ser atacado aumenta muito. Isso é válido também para APIs em ambientes de nuvem.
Há quatro ameaças com forte impacto sobre as APIs
- Autenticação fraca
Mecanismos fracos de autenticação convidam os atores de ameaças a atacar aplicações na nuvem. Tais mecanismos incluem coisas como senhas rudimentares e acesso sem ter de passar por controles de autorização.
- Ataques de injeção
APIs inadequadamente protegidas são um convite aberto a certos tipos de ataques de injeção. Um ataque de SQL injetaria código malicioso via chamadas de API para obter acesso não autorizado.
- Transmissão insegura
APIs inseguras são suscetíveis à transmissão de dados insegura. Quando isso acontece, tudo está em risco – desde credenciais de usuários até informações financeiras.
- Ausência de limitação de taxa
A limitação de taxa é evita sobrecarregar uma API com solicitações de dados. Quando a limitação de taxa não é utilizada, ataques DDoS e outras estratégias que sobrecarregam as aplicações são facilmente implantadas.
Com o crescente uso de Bots e tecnologias de inteligência artificial por parte dos criminosos digitais, é essencial contar com uma estratégia que seja eficaz nas várias frentes de proteção das APIs. Os atacantes não usam somente um caminho de ataque: usam todos simultaneamente e em alto volume de tentativas de violação.
Eis aqui algumas das melhores práticas para a proteção de APIs:
Implementar mecanismos fortes de autenticação e autorização. Eles incluem autenticação multifator e políticas Zero Trust. É recomendável utilizar para isso plataformas com tokens seguros – o que substitui métodos de autenticação baseados em senhas. O alinhamento ao RBAC, que assegura que os usuários tenham somente as permissões de acesso a dados necessárias, reforça ainda mais a postura de segurança da organização.
Programar chamadas de APIs para validar e higienizar meticulosamente os dados. Isso ajuda a prevenir ataques de injeção. O mercado conta com soluções que monitoram e bloqueiam tentativas de injeção, realizando análise contínua do tráfego de APIs para identificar padrões de ataques.
Criptografar dados confidenciais durante a transmissão (nas duas direções, consumo e publicação de dados) e em repouso. A criptografia retarda os atores de ameaças e torna o sucesso deles questionável. É recomendável trabalhar com soluções que utilizam protocolos seguros como TLS.
Realizar o gerenciamento de certificados digitais para garantir conexões seguras com as APIs e monitoramento de segurança contínuo dessas conexões.
Implementar limitação de taxa para impedir que APIs fiquem indisponíveis por excessos de solicitações. Isso bloqueia ataques DDoS.
Conduzir testes de penetração rotineiros para assegurar que as APIs não estejam vulneráveis. Quando vulnerabilidades são identificadas, resolvê-las imediatamente.
MSSPs podem contribuir com a postura de segurança da empresa usuária
A crescente dependência de dados vindos de APIs tem levado os CISOs a priorizar serviços e soluções de proteção dessas linguagens críticas. Uma característica do nosso mercado – a falta de profissionais de cybersecurity preparados para enfrentar ameaças avançadas – algumas vezes prejudica a eficácia da luta contra o crime.
É nesse contexto que tem crescido cada vez mais o interesse das empresas usuárias por parceiros com grande expertise em cybersecurity, em alguns casos empresas com o perfil de MSSP (Managed Security Services Provider).
Vale a pena analisar ofertas de serviços gerenciados de segurança entregues por equipes com experiência real e comprovada na área. A soma desses dois skills – profissionais continuamente treinados e certificados nas melhores práticas de segurança digital e provedores de serviços com processos bem desenhados – é fortalecida, nos MSSPs, pelo uso de tecnologias de proteção de APIs de última geração. Para o CISO, esta pode ser uma resposta de 360º para o imenso desafio de defender APIs críticas para o negócio e para o crescimento da economia digital do Brasil.
Pedro Bellucci, Channel Sales Manager da Hillstone Brasil.