|
APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º |
A cultura de proteção de APIs (Application Programming Interfaces) no Brasil está cada vez mais forte: os CISOs estão preocupados com o desenvolvimento de suas aplicações e a integração entre essas plataformas e Apps rodando em outras organizações. É um quadro onde dados críticos não estão sob o controle do gestor da empresa consumidora desses dados.
Uma API é semelhante a um portador físico encarregado de transportar dinheiro de um lugar para outro. Se esse portador for visto como vulnerável de alguma maneira, o risco de ele ser atacado aumenta muito. Isso é válido também para APIs em ambientes de nuvem.
Há quatro ameaças com forte impacto sobre as APIs
1. Autenticação fraca Mecanismos fracos de autenticação convidam os atores de ameaças a atacar aplicações na nuvem. Tais mecanismos incluem coisas como senhas rudimentares e acesso sem ter de passar por controles de autorização.
2. Ataques de injeção APIs inadequadamente protegidas são um convite aberto a certos tipos de ataques de injeção. Um ataque de SQL injetaria código malicioso via chamadas de API para obter acesso não autorizado.
3. Transmissão insegura APIs inseguras são suscetíveis à transmissão de dados insegura. Quando isso acontece, tudo está em risco – desde credenciais de usuários até informações financeiras.
4. Ausência de limitação de taxa A limitação de taxa é evita sobrecarregar uma API com solicitações de dados. Quando a limitação de taxa não é utilizada, ataques DDoS e outras estratégias que sobrecarregam as aplicações são facilmente implantadas.
Com o crescente uso de Bots e tecnologias de inteligência artificial por parte dos criminosos digitais, é essencial contar com uma estratégia que seja eficaz nas várias frentes de proteção das APIs. Os atacantes não usam somente um caminho de ataque: usam todos simultaneamente e em alto volume de tentativas de violação.
Eis aqui algumas das melhores práticas para a proteção de APIs:
• Implementar mecanismos fortes de autenticação e autorização. Eles incluem autenticação multifator e políticas Zero Trust. É recomendável utilizar para isso plataformas com tokens seguros – o que substitui métodos de autenticação baseados em senhas. O alinhamento ao RBAC, que assegura que os usuários tenham somente as permissões de acesso a dados necessárias, reforça ainda mais a postura de segurança da organização. • Programar chamadas de APIs para validar e higienizar meticulosamente os dados. Isso ajuda a prevenir ataques de injeção. O mercado conta com soluções que monitoram e bloqueiam tentativas de injeção, realizando análise contínua do tráfego de APIs para identificar padrões de ataques. • Criptografar dados confidenciais durante a transmissão (nas duas direções, consumo e publicação de dados) e em repouso. A criptografia retarda os atores de ameaças e torna o sucesso deles questionável. É recomendável trabalhar com soluções que utilizam protocolos seguros como TLS. • Realizar o gerenciamento de certificados digitais para garantir conexões seguras com as APIs e monitoramento de segurança contínuo dessas conexões. • Implementar limitação de taxa para impedir que APIs fiquem indisponíveis por excessos de solicitações. Isso bloqueia ataques DDoS. • Conduzir testes de penetração rotineiros para assegurar que as APIs não estejam vulneráveis. Quando vulnerabilidades são identificadas, resolvê-las imediatamente.
MSSPs podem contribuir com a postura de segurança da empresa usuária
A crescente dependência de dados vindos de APIs tem levado os CISOs a priorizar serviços e soluções de proteção dessas linguagens críticas. Uma característica do nosso mercado – a falta de profissionais de cybersecurity preparados para enfrentar ameaças avançadas – algumas vezes prejudica a eficácia da luta contra o crime.
É nesse contexto que tem crescido cada vez mais o interesse das empresas usuárias por parceiros com grande expertise em cybersecurity, em alguns casos empresas com o perfil de MSSP (Managed Security Services Provider).
Vale a pena analisar ofertas de serviços gerenciados de segurança entregues por equipes com experiência real e comprovada na área. A soma desses dois skills – profissionais continuamente treinados e certificados nas melhores práticas de segurança digital e provedores de serviços com processos bem desenhados – é fortalecida, nos MSSPs, pelo uso de tecnologias de proteção de APIs de última geração. Para o CISO, esta pode ser uma resposta de 360º para o imenso desafio de defender APIs críticas para o negócio e para o crescimento da economia digital do Brasil.
*Pedro Bellucci é Channel Sales Manager da Hillstone Brasil
|
|
|
|
|
|