E-mail


Senha

Lembrar senha

   
Informe o e-mail usado para fazer o login


   



Pesquisa




APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º
Enviar release
Este release no seu Blog ou Site

A cultura de proteção de APIs (Application Programming Interfaces) no Brasil está cada vez mais forte: os CISOs estão preocupados com o desenvolvimento de suas aplicações e a integração entre essas plataformas e Apps rodando em outras organizações. É um quadro onde dados críticos não estão sob o controle do gestor da empresa consumidora desses dados.

Uma API é semelhante a um portador físico encarregado de transportar dinheiro de um lugar para outro. Se esse portador for visto como vulnerável de alguma maneira, o risco de ele ser atacado aumenta muito. Isso é válido também para APIs em ambientes de nuvem.

Há quatro ameaças com forte impacto sobre as APIs

1. Autenticação fraca
Mecanismos fracos de autenticação convidam os atores de ameaças a atacar aplicações na nuvem. Tais mecanismos incluem coisas como senhas rudimentares e acesso sem ter de passar por controles de autorização.

2. Ataques de injeção
APIs inadequadamente protegidas são um convite aberto a certos tipos de ataques de injeção. Um ataque de SQL injetaria código malicioso via chamadas de API para obter acesso não autorizado.

3. Transmissão insegura
APIs inseguras são suscetíveis à transmissão de dados insegura. Quando isso acontece, tudo está em risco – desde credenciais de usuários até informações financeiras.

4. Ausência de limitação de taxa
A limitação de taxa é evita sobrecarregar uma API com solicitações de dados. Quando a limitação de taxa não é utilizada, ataques DDoS e outras estratégias que sobrecarregam as aplicações são facilmente implantadas.

Com o crescente uso de Bots e tecnologias de inteligência artificial por parte dos criminosos digitais, é essencial contar com uma estratégia que seja eficaz nas várias frentes de proteção das APIs. Os atacantes não usam somente um caminho de ataque: usam todos simultaneamente e em alto volume de tentativas de violação.

Eis aqui algumas das melhores práticas para a proteção de APIs:

• Implementar mecanismos fortes de autenticação e autorização. Eles incluem autenticação multifator e políticas Zero Trust. É recomendável utilizar para isso plataformas com tokens seguros – o que substitui métodos de autenticação baseados em senhas. O alinhamento ao RBAC, que assegura que os usuários tenham somente as permissões de acesso a dados necessárias, reforça ainda mais a postura de segurança da organização.
• Programar chamadas de APIs para validar e higienizar meticulosamente os dados. Isso ajuda a prevenir ataques de injeção. O mercado conta com soluções que monitoram e bloqueiam tentativas de injeção, realizando análise contínua do tráfego de APIs para identificar padrões de ataques.
• Criptografar dados confidenciais durante a transmissão (nas duas direções, consumo e publicação de dados) e em repouso. A criptografia retarda os atores de ameaças e torna o sucesso deles questionável. É recomendável trabalhar com soluções que utilizam protocolos seguros como TLS.
• Realizar o gerenciamento de certificados digitais para garantir conexões seguras com as APIs e monitoramento de segurança contínuo dessas conexões.
• Implementar limitação de taxa para impedir que APIs fiquem indisponíveis por excessos de solicitações. Isso bloqueia ataques DDoS.
• Conduzir testes de penetração rotineiros para assegurar que as APIs não estejam vulneráveis. Quando vulnerabilidades são identificadas, resolvê-las imediatamente.

MSSPs podem contribuir com a postura de segurança da empresa usuária

A crescente dependência de dados vindos de APIs tem levado os CISOs a priorizar serviços e soluções de proteção dessas linguagens críticas. Uma característica do nosso mercado – a falta de profissionais de cybersecurity preparados para enfrentar ameaças avançadas – algumas vezes prejudica a eficácia da luta contra o crime.

É nesse contexto que tem crescido cada vez mais o interesse das empresas usuárias por parceiros com grande expertise em cybersecurity, em alguns casos empresas com o perfil de MSSP (Managed Security Services Provider).

Vale a pena analisar ofertas de serviços gerenciados de segurança entregues por equipes com experiência real e comprovada na área. A soma desses dois skills – profissionais continuamente treinados e certificados nas melhores práticas de segurança digital e provedores de serviços com processos bem desenhados – é fortalecida, nos MSSPs, pelo uso de tecnologias de proteção de APIs de última geração. Para o CISO, esta pode ser uma resposta de 360º para o imenso desafio de defender APIs críticas para o negócio e para o crescimento da economia digital do Brasil.

*Pedro Bellucci é Channel Sales Manager da Hillstone Brasil

Editorias: Ciência e Tecnologia  Telecomunicações  
Tipo: Artigo  Data Publicação:
Fonte do release
Empresa: GAD  
Contato: GAD  
Telefone: 11-38469981-

Envie um e-mail para o(a) responsável pela notícia acima:
Seu nome

Seu e-mail

Mensagem

Digite o código mostrado abaixo

  
Skype:
MSN:
Twitter:
Facebook:
Copyright 2008 - DIFUNDIR - Todos os direitos reservados. Não é permitida a reprodução deste conteúdo sem prévia autorização.