No segundo dia do Cybersecurity Forum 2022, promovido pela TI INSIDE nesta quarta-feira, 30, o primeiro painel foi focado na discussão sobre segurança dos aplicativos. Vários estudos mostram que a maioria das violações bem-sucedidas ataca vulnerabilidades exploráveis que residem na camada de aplicativos móveis, mostrando a necessidade de as empresas ficarem extremamente atentas à segurança dos dispositivos e plataformas de SaaS, reforçando ainda a importância de se testar os produtos desde a fase do desenvolvimento.
Como disse Thiago Oliveira, diretor de Engenharia de Software do Mercado Livre Latam, nos últimos anos houve uma virada desproporcional em termos tecnológicos, pois poucos eram os usuários de smartphones para além da sua finalidade precípua de comunicação e passaram a usar muitos mais aplicativos para uma incontável gama de finalidades. "Isso ficou evidente durante a pandemia, quando se não fossem os aplicativos nem comida as pessoas poderiam acessar. E neste novo contexto global, o desafio é entender a cabeça dessas pessoas recém ingressantes no mundo da mobilidade via aplicativos e como essa facilidade traz a tecnologia para ele", reforçou.
Assim, como evidenciou o especialista, um drive do mercado é levar a Total Experience para todos, para quem usa, para quem construiu e quem oferece produtos ou serviços. "No desenvolvimento de app, práticas anteriores para construir apps, não devem ser mais usadas como antes, porque há um movimento das grandes empresas em não mais trabalharem isoladas. Percebe-se que conceitos como DevOps e De SecOps estão rompendo silos e plataformas para otimizar a construção de novos apps", afirmou Thiago Oliveira.
Quanto a segurança ele foi enfático," isso deixou de ser opcional. Já que a satisfação e lealdade do usuário estão intimamente ligadas a ela. As empresas se transformaram em empresas de tecnologia, mesmo esse não sendo seu core, com plataformas mais eficientes para construir apps e segurança agregada", reforçou.
Segundo ele, ao otimizar ambientes "plataformizados", com diversos silos para construir, fornecer skills ou capabilities aos desenvolvedores permite iniciar essa jornada usando bibliotecas que já foram testadas e a "plataformização" de todos os ambientes, bem como entender o cliente e como conseguir extrapolar os medos dos usuários em termos de segurança nas apps.
Enio Moraes, CIO da Semantix, reforçou que as APIs são mais vistas como fatores de risco quando entram na camada de digitalização, em função do passado recente, já que muitas empresas precisaram procurar consultorias e plataformas para seu desenvolvimento de apps.
"Houve um momento que esta estrutura era artesanal, mas ao entender como funciona uma API integrando sistemas houve um mudança de paradigma ao ponto que observamos que o pessoal de segurança passou a se se preocupar com o desenvolvedor, treinando-os com o fim de reter esse conhecimento, mesmo porque o cenário dos profissionais é de grandes mudanças no mercado", analisou o CIO.
Moraes ainda reiterou que essas mudanças dos profissionais acontecem com frequência e que isso pode levar a um retreinamento e a necessidade de mudanças para aumentar a conscientização sobre a segurança, ao mesmo tempo para reter esse conhecimento dentro das empresas.
"À parte a mudanças de pessoas, há hoje ofertas de app com os features para desenvolvimentos e também ad hoc dentro das plataformas, assim as APIs se tornaram uma das maiores fontes de ataques em segurança para um agente malicioso que tem posse de suas chaves. De início pode-se não perceber, mas aos poucos esse agente drena informações do sistema para utilizar mais a frente ou até comprometer todo o ecossistema".
Segundo o executivo, os movimentos de monitoria das chaves privadas e executar as boas práticas, não esquecendo de outras medidas como a defesa em camadas, entre outras recomendações para segurança são sempre as melhores barreiras.
"Primeiro passo é olhar as práticas de desenvolvimento, olhar para operacional, olhar para a base de conhecimento, para desenvolvedores , devem fazer parte da rotina segurança da informação", disse.
Fábio Bloise, Gerente de Negócios da F5 Brasil reiterou a importância que as APIs estão ganhando no mundo com um número: até 2030 serão cerca de 100 milhões de APIs no mundo, e mais de 300 milhões de desenvolvedores.
"Isso representa o crescimento da infraestrutura e o foco das organizações em automação e a complexidade que representa a responsabilidade para pilotar tudo, em especial a segurança", ressaltou.
"Com tantos dados trocados entre as organizações, a visibilidade e a vulnerabilidade são reais. No Brasil e na América Latina entre 2021/22, 168% das empresas repatriaram dados da cloud híbrida para on premise ou nuvem particular – por vários motivos, mas os ciberataques são realidade, são uma estratégia dos atacantes a violação de APIs , assim como a inserção de código malicioso ou robôs criminosos nos formulários para dar acesso a dados enfim inundar as APIs com mais tráfego e usuários falsos e excesso de volume deixar a API indisponível para usuários, são exemplos do que acontece.
"De outro lado há muitas ferramentas e boas práticas que ajudam os desenvolvedores como AI para identificar os bots maliciosos, bloquear dados durante o desenvolvimento das APIs, enfim todo um ferramental com foco em segurança para aplicativos em nuvem, a fim de diminuir os riscos", concluiu.
