Na era da transformação digital, as interfaces de programação e aplicação (APIs) desempenham um papel fundamental para a maioria das empresas, melhorando as experiências dos funcionários e clientes, promovendo a integração, inovação, personalização e acessibilidade dos serviços oferecidos.
No entanto, essa transformação está sendo impactada por uma crescente atenção dos cibercriminosos às APIs, conforme destacado pela Akamai em seu último relatório SOTI (State of the Internet) de 2024, intitulado Lurking in the Shadows: Attack Trends Shine Light on API Threats (em tradução livre, Escondido nas Sombras: Tendências de Ataques Revelam as Ameaças às APIs), que revela um panorama em constante mudança de ciberataques direcionados às APIs.
As APIs podem expor dados aos cibercriminosos uma vez que obtenham acesso não autorizado. Por outro lado, APIs vêm sendo fundamentais em recentes evoluções dos negócios, elevando a experiência tanto dos usuários quanto dos provedores. A agilidade e eficiência para os negócios proporcionam a rápida expansão da economia das APIs, mas esse progresso deu aos cibercriminosos novas oportunidades de exploração digital. O relatório revela que esses ataques continuarão aumentando junto com a demanda pelo uso de APIs.
"Identificar pontos cegos, como APIs ocultas ou não autorizadas, permite que as equipes de segurança abordem vulnerabilidades previamente", explica Claudio Baumann, Diretor Geral da Akamai Technologies para a América Latina.
Os ataques às APIs não só representam uma ameaça para as empresas, mas também têm um impacto significativo na vida das pessoas. O vazamento de dados confidenciais pode resultar em roubo de identidade, levando a fraudes financeiras e violações de privacidade para os clientes das empresas afetadas. Além disso, a interrupção dos serviços essenciais pode causar frustração e inconveniência para os usuários finais.
"O vazamento de informações de cartão de crédito através de uma API de um aplicativo bancário, por exemplo, pode expor detalhes como números de cartão, informações de transações e saldo da conta, sendo utilizados para outros tipos de golpes", explica Claudio Baumann.
Aumento dos ataques
Conforme revelado, 29% dos ciberataques do último ano tiveram as APIs como principal alvo. O motivo seria a crescente atenção que os cibercriminosos estão prestando a essas interfaces digitais, se aproveitando das oportunidades criadas pela rápida expansão da economia das APIs. Além disso, é ressaltado que o setor de comércio é o número um em ataques, com 44%.
Um dos pontos importantes abordados no relatório é o business logic abuse, levantando a difícil tarefa de detectar atividades anormais sem uma linha de base clara. A falta de soluções para monitorar essas anomalias coloca as organizações em risco de sofrer ataques em tempo de execução, como o "data scraping".
Desafíos de segurança
O relatório identifica três desafios gerais de segurança enfrentados pelas APIs: visibilidade, vulnerabilidade e abuso de lógica empresarial. A falta de controles e processos para garantir a proteção de todas as APIs, bem como a ausência de melhores práticas de desenvolvimento, são reveladas como vulnerabilidades-chave.
Os serviços empresariais ocupam o segundo lugar em risco, com quase 32% dos ataques, destacando os perigos potenciais dos ataques à cadeia de suprimentos. A falta de compreensão sobre as implicações de segurança das APIs em diversas verticais, como o setor de saúde com a Internet das Coisas Médicas (IoMT), adiciona uma camada adicional de ameaças.
Consequências de ignorar a segurança das APIs
O relatório destaca que erros de programação ou configuração, combinados com a rapidez no lançamento de aplicativos e processos empresariais, aumentam o risco de violações de segurança. As ramificações incluem danos à marca, perda de dados confidenciais e problemas de conformidade, destacando a importância crítica da segurança das APIs atualmente.
"A falta de investimento adequado em segurança de APIs pode ter consequências diretas para clientes e reputação de marca, além de expor empresas a riscos legais, regulatórios e financeiros significativos. Multas, litígios e danos à reputação podem resultar em impactos duradouros. Além disso, um ataque a uma API pode afetar não só a empresa atacada, mas também seus parceiros e clientes;', completa Baumann.
Adoção de práticas de segurança
Implementar controles de acesso robustos, monitorar atividades suspeitas, educar e treinar os funcionários sobre práticas seguras de desenvolvimento e uso de APIs, além de medidas de segurança em todas as etapas do ciclo de vida das APIs são algumas das práticas essenciais contra os ataques às APIs.
"A segurança das APIs é algo crucial. Ignorar essa segurança não é apenas um erro empresarial, mas uma negligência que pode afetar a confiança dos clientes na marca. É essencial investir em medidas proativas de segurança para proteger não apenas as empresas, mas também os indivíduos que dependem delas", finaliza Claudio.
CYBERSECURITY FORUM 2024
A TI INSIDE promove no dia 24 de abril, no WTC-SP, a 3a edição do Cybersecurity Forum. Veja a grade e faça sua inscrição no site https://cybersecurityforum.com.br/
