Não há dúvidas de que o tema Segurança de APIs (Application Programming Interface) tem se apresentado como ponto fundamental da estratégia de Segurança da Informação das empresas. Isto é particularmente notado com o surgimento de fortes movimentos de mercado, como Open Banking/Open Insurance, aliados a uma grande aceleração da transformação digital que experimentamos durante a pandemia.
O grande facilitador deste processo tem sido o uso de APIs, que são a base que permite troca de informações entre empresas, sendo que muitas das mais novas, inclusive, são totalmente dependentes de APIs na forma como executam seus negócios. O Salt Labs, grupo de pesquisa de vulnerabilidades e ameaças focado em segurança de APIs da Salt Security, publica semestralmente um relatório chamado "State of API Security".
O primeiro ponto que vale uma reflexão é: sabemos onde estão todas as APIs? Temos um inventário automático e atualizado das APIs? A verdade é que não podemos proteger aquilo que não conhecemos. Um dado da pesquisa, relativo à frequência de atualização de APIs dentro do ambiente das empresas, chama a atenção: 11% das APIs são atualizadas diariamente, 31% atualizadas semanalmente e 24% mensalmente. Estamos falando em 66% das APIs atualizadas em até no máximo um mês! Como se manter atualizado e garantir uma proteção adequada em um cenário tão volátil?
A manutenção de um inventário automatizado, que consiga identificar rapidamente novas APIs e modificações nas já existentes é algo fundamental dentro do conjunto de soluções de proteção. Não é possível proteger aquilo que não conhecemos!
Em relação à proteção dos ambientes de APIs, é primordial entender que as ferramentas tradicionais não são adequadas para identificar ataques que se utilizam de violação de lógica de negócios. É fundamental que a solução de proteção de APIs seja capaz de aprender sobre o tráfego (baseado nas requisições e respostas) e identificar anomalias no acesso de forma automática. Modelos matemáticos de aprendizado, aliados a uma visão abrangente proporcionada pelo uso de Big Data, acabam sendo o melhor aliado nesse processo de identificação dos ataques.
É inegável que uma das principais maneiras de se avaliar a segurança das aplicações é através do uso de serviços/tecnologias focadas em testes do ambiente. Uma das vantagens de fazer testes a partir de uma plataforma focada em proteção de APIs é o entendimento da lógica de negócios, pois todo o processo de aprendizado sobre como funciona a API, sua estrutura, além do comportamento dos acessos, é gerado automaticamente. Neste contexto, ao invés de análise de código, que também é muito importante, a solução focada em proteção de APIs pode e deve executar testes que procuram violar essa lógica de negócios
Os riscos são bem claros e o assunto proteção de APIs toma cada vez mais uma proporção que desafia modelos tradicionais de proteção. Por este motivo é fundamental pensar fora da caixa e utilizar ferramentas mais adequadas à atual realidade.
Paulo Braga Craveiro, Engenheiro Senior Pré-Vendas para a América Latina da Salt Security.
