Nas organizações modernas, as interfaces de programação de aplicações, da sigla em inglês APIs (Application Programming Interface), se tornaram uma nova e importante camada tecnológica. Praticamente todas as empresas as usam, tanto para troca de informações entre sistemas internos quanto externamente para comunicar-se com clientes e parceiros. As APIs conectam empresas e seus clientes para gerar valor de novas formas, trazendo aos negócios melhores serviços e maior agilidade. Mas, ao mesmo tempo em que geram mais valor para os negócios, elas se revelam como uma nova superfície de ataque – com novos riscos, ameaças e vulnerabilidades.
Mas, quais são exatamente os riscos?
As APIs fornecem um canal direto a terceiros para os dados armazenados pela sua empresa, tanto os corporativos quanto os pessoais. Isso por si só já deveria acender alguns sinais de alerta: Como assegurar que o compartilhamento de dados é realizado em linha com as políticas de segurança e privacidade da empresa? Colocando de outra forma – os dados que estão sendo compartilhados foram analisados e explicitamente autorizados para tratamento por terceiros? Foi usado o princípio do mínimo privilégio? Foram observados princípios da Lei Geral de Proteção de Dados (LGPD)? E como funciona a autenticação: protocolos usados, e sua implementação? O tráfego de informações é criptografado, e com protocolos reconhecidamente seguros? Há controles contra ataques conhecidos como injeção de código? Há um controle adequado de erros, acessos maliciosamente massivos, controle de encerramento de sessão? Foram realizados testes de segurança? A comunicação é protegida por um Web/API Application Firewall? Há logs, e estes são devidamente monitorados?
Antes disso: há visibilidade de quais APIs são usadas, com que terceiros se comunicam, quais dados são compartilhados, quais as normas de segurança aplicáveis, bem como práticas de desenvolvimento, treinamento de segurança e privacidade dos desenvolvedores, adoção de práticas de Privacy by Design e Security by Default, papéis e responsabilidades ao longo do ciclo de vida das APIs?
Em muitos casos, a resposta para estas questões é negativa. Felizmente, os Gerentes de Segurança no Brasil e no mundo estão começando a se atentar a este novo desafio. Mas, como começar? Algumas empresas já investem em processos e ferramentas para Gestão de APIs, incluindo API Gateways, contudo os temas de segurança vão além das funcionalidades normalmente atribuídas para estes controles.
Então, para mitigar estes riscos recomenda-se minimamente que:
Faça uma análise de segurança especifica – As análises de segurança de APIs são multidisciplinares e devem envolver os times de segurança, desenvolvimento e infraestrutura. Aspectos de governança, ciclo de desenvolvimento, código e operação são fundamentais na análise. Fique atento: em suas últimas análises de segurança, seja de infraestrutura ou de aplicações, as APIs podem ter ficado de fora.
Faça testes de segurança nas APIs – Inicialmente, como uma ação pontual, para avaliar os riscos existentes; mas posteriormente como um processo recorrente de segurança.
Assegure a existência de normas – O desenvolvimento de normativos e processos relativos ao tema é fundamental para garantir que o processo de desenvolvimento e gestão das APIs seja adequado aos desafios de segurança e privacidade que elas representam.
Assegure haver governança das APIs – Não ter visibilidade dos ativos a defender é um erro crucial de segurança. No tocante às APIs, as Shadow APIs podem representar os riscos mais sérios de segurança. É crítico assegurar que todas APIs em uso pela organização estejam dentro do modelo de governança e segurança implementado.
Realize treinamentos – Contemplando todos os envolvidos: equipes de desenvolvimento, segurança e infraestrutura.
Pode parecer alarmante, mas é comum encontrar APIs totalmente desprotegidas em grandes empresas no mercado – APIs sem visibilidade para o time de segurança, desenvolvidas e utilizadas sem sequer usar criptografia, compartilhando dados sem autenticação ou controle com terceiros e, na prática, com qualquer um na Internet. Além disso, há também flagrantes descumprimentos às normas de segurança das próprias empresas e à LGPD.
Não deixe de agir, e rápido. As APIs representam uma nova e emergente camada tecnológica que se encontra muitas vezes em um vazio de governança de segurança que leva aos riscos aqui apresentados, dentre outros. Esta camada pode representar o elo mais fraco da corrente e por isso comprometer todos os demais investimentos e esforços realizados por anos em segurança cibernética – nas camadas de infraestrutura, endpoints, nuvem, e de aplicações.
Leonardo Carissimi, diretor de Cybersecurity & Privacy da Capgemini no Brasil.