O número de incidentes relacionados à segurança das APIs mais do que dobrou ao longo do último ano. Para Daniela Costa, diretora para a América Latina e Canadá da Salt Security, passada a busca frenética pelas ofertas que geraram a já tradicional corrida dos consumidores ao comércio on-line sob o guarda-chuva da Black Friday e da Cyber Monday, é tempo de refletir sobre o fato de que cresce a cada dia o número de ataques criminosos contra as infraestruturas de TI das empresas dos mais diversos segmentos e diferentes portes.
“É um cenário previsível, uma vez que cada vez mais as APIs são empregadas para facilitar as operações de comércio eletrônico, conectando aplicativos móveis, sites e sistemas de back-end para permitir melhores experiências de compra”, destaca a executiva, lembrando que os varejistas formam um grupo de alto risco pois dependem muito de APIs para lidar com ações sensíveis como a autenticação do usuário, gerenciamento de estoques, processamento de pagamentos e integração com serviços de terceiros, como ferramentas de logística ou marketing.
Buscando se posicionar à frente dos concorrentes, as empresas de comércio on-line apostam na agilidade para colocar suas ofertas o quanto antes para os consumidores. Embora a velocidade de entrada no mercado seja essencial, deixar de priorizar a segurança pode levar a violações devastadoras. “Os cibercriminosos estão bem cientes das vulnerabilidades criadas por essa corrida. APIs sem autenticação adequada ou mecanismos de limitação de taxa podem ser alvo de invasões de contas, roubo de dados ou ataques de negação de serviço”, alerta Daniela Costa.
A executiva identifica quatro armadilhas comuns quando se pensa em segurança de APIs:
- Erros de desenvolvimento: práticas de codificação inseguras, como codificação de credenciais confidenciais ou falha na limpeza de entradas, podem deixar as APIs vulneráveis a ataques como injeção de SQL ou cross-site scripting.
- Projetos de arquitetura inadequados: APIs mal projetadas podem expor endpoints desnecessários ou não implementar o princípio de privilégios mínimos, aumentando a superfície de ataque.
- Configurações incorretas: controles de acesso, configurações de criptografia ou mecanismos de registro mal configurados podem inadvertidamente abrir a porta para usuários não autorizados ou dificultar a detecção de atividades maliciosas.
- Falta de proteções de tempo de execução: APIs implantadas em produção sem mecanismos de defesa adequados, como firewalls ou sistemas de detecção de anomalias, são alvos fáceis para invasores oportunistas.
Após reconhecer que muitas organizações ainda carecem dessa maturidade em suas estratégias de segurança, a executiva afirmou ser fundamental entender que é possível incorporar camadas de segurança sem comprometer a inovação, o que pode ser feito através de uma abordagem proativa que deve incluir:
- Teste de segurança automatizado: a integração de ferramentas para verificação de vulnerabilidades de API e pentests em pipelines de CI/CD garantem que os problemas de segurança sejam identificados e resolvidos antecipadamente.
- Monitoramento contínuo: o monitoramento em tempo real do tráfego de API pode ajudar a detectar e mitigar ameaças antes que elas aumentem.
- Educação e colaboração: garantir que todas as partes interessadas, de desenvolvedores a executivos, entendam a importância da segurança da API promove uma cultura de responsabilidade compartilhada.
“As APIs cada vez mais são utilizadas pelas empresas de comércio eletrônico. Por elas trafegam inúmeras informações sensíveis como dados relativos à autenticação do usuário e dados para o processamento dos pagamentos incluindo cartões de crédito. As APIs também são responsáveis pela integração de serviços com terceiros, incluindo o controle de estoques, para permitir uma experiência de compra mais ágil”, avalia a executiva.
“Este cenário faz com que as APIs cada vez sejam mais visadas pelos cibercriminosos, que não limitam seus ataques apenas a períodos de maior movimento como as ofertas para a Black Friday ou para as festas de final de ano. As empresas que atuam neste segmento devem estar preparadas para enfrentar as ameaças às suas infraestruturas de TI durante as 24 horas de cada dia”, resume Daniela Costa.
