Por Eder Souza.
Em agosto de 2023, o Duolingo, um dos maiores e mais populares aplicativos de aprendizagem de idiomas do mundo, relatou que dados de 2,6 milhões de usuários do seu serviço – incluindo nomes, endereços de e-mail e muito mais – vazaram para um fórum na dark web.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
A API do Duolingo para acesso à conta do usuário exigia apenas um endereço de e-mail, com verificação insuficiente. Isso permitiu que um invasor com um grande banco de dados de e-mail executasse um script na API e coletasse vários dados da conta cada vez que um e-mail correspondente fosse encontrado em seu sistema.
Possuir APIs inovadoras e com contextos seguros é uma maneira de diminuir riscos de ataques e golpes.
Segundo um estudo publicado pela Cequence, uma da líderes no fornecimento de tecnologias para proteção de APIs, Shadow APIs, ou seja, aquelas APIs utilizadas de forma isolada por áreas de negócio e desconhecidas pelo restante da empresa e fora da política de governança, cresceram 900%. Ainda segundo a Cequence, em épocas de feriados, os ataques utilizando técnicas únicas crescem 550%.
O relatório Violações de Dados 2022, da Verizon, revela que grande parte dos ataques(74%) envolveu o elemento humano e inclui engenharia social, erros ou uso indevido de sistemas. Foram analisados mais de 23 mil incidentes de segurança e confirmadas 5.200 violações.
- Fique por dentro: O perigo da exposição silenciosa de dados nas 'trends' das redes sociais
A verdade é que, atualmente, as APIs ocupam papel de destaque no mundo dos negócios. Isto porque elas possibilitam que empresas executem e integrem serviços digitais com os seus sistemas gerenciais, serviços de parceiros e outros e tudo isso em ambientes tecnológicos distintos. Sem a interconexão de aplicações, os processos de negócios seriam ainda mais desafiadores.
Se as APIs possuem suas vantagens, elas também oferecem grandes desafios relacionados à segurança para viabilizar o transporte de dados sensíveis entre as mais diversas aplicações empresariais.
Quais são as principais falhas de segurança no uso das APIs?
Um estudo da Datos Insights oferece uma análise aprofundada sobre as principais soluções de segurança de API e apresenta um histórico do mercado, tamanho, investimento, ameaças de API e os padrões adotados. Destacamos neste relatório as seguintes constatações:
A expansão do uso de APIs é surpreendentemente generalizada
A falta de gerenciamento e supervisão faz com que muitas delas sejam colocadas em operação com problemas de segurança, motivando o cibercrime a desenvolver um número crescente de ataques de dia zero, explorando uma vulnerabilidade de software que não é conhecida do público ou do desenvolvedor do software;
APIs comprometidas produziram mais de um bilhão de registros infectados
A exploração de APIs crescem exponencialmente e a sofisticação dos ataques de dia zero comprometem centenas de milhões de registros em um único evento.
Muitas soluções de segurança de APIs são caras
A aquisição destas ferramentas exige uma decisão de compra de seis dígitos para a maioria das organizações. O preço inicial pode começar abaixo de US$100 mil, mas o ARR (Annual Recurring Revenue) pode crescer rapidamente com base no uso e adoção por outras áreas das empresas.
O impacto das APIs nos negócios
O relatório da Datos Insights aponta também que o número médio de APIs utilizadas pelas organizações está entre 15 mil e 25 mil, podendo chegar a 1,7 bilhão de APIs até 2030. Isso torna estes conectores de aplicações o principal componente de software e, com isso, a entrada principal para potenciais ataques cibernéticos.
Outro problema é que as empresas não sabem quais funções muitas dessas APIs estão executando, quantas versões existem ou se elas realmente existem. Se, por um lado, as APIs entregam grande poder às equipes de desenvolvimento e integração de aplicativos, por outro, introduzem vulnerabilidades potencialmente graves. Os criminosos cibernéticos visam as APIs para a captura de dados e os números do primeiro estudo citado inicialmente comprovam isso.
Este cenário é uma das razões pelas quais o estudo da Datos Insights aponta a segurança das APIs como uma das prioridades atuais das organizações de todos os portes.
Como proteger as APIs
Outra constatação deste estudo da Datos Insights é que os clientes demonstram preferência por soluções nas quais o provedor assuma a maior parte da proteção das APIs. Além disso, a maioria dos profissionais não possui experiência em segurança de API.
A infraestrutura de APIs deve ser robusta, especialmente ter uma equipe para cuidar da cibersegurança da empresa.
A estratégia mais viável é delegar essas tarefas para equipes especialmente dedicadas a proteger essa infraestrutura de APIs por meio do SOC (centro de operações de cibersegurança) como serviço, ainda com o apoio de tecnologias desenvolvidas para dar visibilidade e analisar comportamentos diversos em busca de ameaças. A adoção de uma estratégia como essa pode representar uma grande economia de investimentos em equipes e tecnologias especialmente caras, como o próprio estudo aponta.
O apoio da IA Generativa na segurança das APIs
Os avanços dos recursos da IA Generativa estão ajudando muitas organizações a proteger suas APIs a partir da criação de fluxos de trabalho criados pela inteligência artificial baseados em low code/no code. O que permite às equipes de desenvolvimento realizar testes de segurança automatizados das aplicações interconectadas, sem depender dos tradicionais pipelines CI/CD.
Ao utilizar ferramentas de proteção de APIs equipadas com IA Generativa - inclusive no SOC como serviço - as organizações garantem que as aplicações de software e APIs sejam mais protegidas contra violações.
Certamente, as organizações necessitam elevar a sua capacidade de proteção dos seus dados sensíveis e colocar os sistemas interconectados via APIs em conformidade com suas políticas de segurança. Isto exige monitoramento contínuo, auditorias regulares e medidas proativas para descobrir e gerenciar APIs fraudulentas, recursos que uma estrutura de SOC como serviço dedicado ajuda a realizar.
****
Eder Souza é CTO da e-Safer.
Categorias