*Por Michele Pasini, Arquiteta de Segurança da Informação da Service IT Security
A transformação digital é o atual maquinário vital para competitividade das organizações no mercado. Suas engrenagens são impulsionadas principalmente por APIs, as quais respondem por mais de 80% do tráfego na internet, conforme destacado em um levantamento da Akamai. À medida que a digitalização avança de forma incontestável, o papel dos CISOs torna-se crescentemente desafiador. Eles enfrentam a gestão dos riscos cibernéticos em uma superfície de ataque complexa e dinâmica, ao mesmo tempo em que devem assegurar que suas ações não comprometam a viabilidade dos negócios.
Cada API possui uma arquitetura única e um comportamento adaptado ao seu propósito específico. Para atender continuamente às exigências das áreas de negócios, as APIs passam por modificações frequentes em busca de melhor desempenho e funcionalidades aprimoradas. É comum que essas APIs transmitam dados sensíveis, como Informações de Identificação Pessoal (PII), destacando ainda mais a importância da sincronização entre as áreas de desenvolvimento e segurança da informação.
De acordo com a Salt, os ataques direcionados às APIs aumentaram em impressionantes 400%, evidenciando a crescente ameaça nesse cenário. Esses números ressaltam a urgência de estratégias de segurança robustas e adaptáveis, capazes de acompanhar a evolução constante das táticas dos adversários cibernéticos. Os CISOs, portanto, desempenham um papel crucial ao equilibrar a proteção contra ameaças emergentes sem prejudicar as operações essenciais para os negócios.
Em uma tentativa de conter ataques em ambientes modernos de desenvolvimento, muitas áreas de segurança da informação têm adotado predominantemente o modelo de proteção de borda, utilizando ferramentas como WAFs, Firewalls e/ou API Gateways. No entanto, os recentes incidentes de segurança relacionados a APIs em grandes corporações, como os casos envolvendo Parler, Experian e Facebook, evidenciam que depender exclusivamente desse modelo já não é mais eficaz. Tais eventos destacam que, embora essas ferramentas de borda sejam importantes para o ecossistema de proteção das empresas, elas não oferecem uma defesa efetiva contra ataques direcionados às APIs.
A razão para a inefetividade dessas ferramentas está intrinsecamente ligada à sua arquitetura, que se concentra na validação individual de cada requisição, comparando o pacote com uma base de assinaturas para identificar e bloquear ataques conhecidos. No entanto, os ataques modernos às APIs direcionam-se à lógica de negócios da empresa, caracterizando-se por serem mais lentos, persistentes e personalizados. Essas características tornam uma abordagem baseada exclusivamente em assinaturas ineficazes para impedir esses tipos de ataques.
A abordagem recomendada pelo Gartner, conforme apresentada no relatório “API Security: What You Need to Do to Protect Your APIs”, sugere uma combinação entre uma plataforma dedicada à segurança de APIs e ferramentas tradicionais de borda para garantir uma proteção mais efetiva. Essa sinergia é fundamental para calibrar a inteligência de proteção com base em tecnologias como inteligência artificial e aprendizado de máquina, permitindo uma avaliação baseada em contexto capaz de bloquear ataques desconhecidos. Os três pilares essenciais para uma estratégia de proteção de APIs são:
- Visibilidade: A máxima “não é possível proteger o que não se conhece” destaca a importância crucial da visibilidade nas estratégias de segurança de APIs. No contexto dinâmico das APIs, a rápida taxa de lançamentos e atualizações torna impraticável uma abordagem manual para essa tarefa. Nesse cenário, é altamente recomendável a adoção de ferramentas com capacidade de descoberta automática de APIs e compreensão de sua arquitetura. Essas ferramentas fornecem uma visão abrangente e em tempo real do ecossistema de APIs, permitindo uma gestão proativa e eficaz da segurança, identificando potenciais vulnerabilidades e ameaças.
- Proteção em tempo real: Após a descoberta automática das APIs, é imperativo habilitar uma plataforma de proteção contra ameaças em tempo real. A escolha deve recair sobre uma abordagem contextual impulsionada por inteligência e aprendizado de máquina. Em outras palavras, a plataforma deve ser capaz de aprender e compreender o fluxo padrão das APIs, identificando desvios com base em comportamentos. Abordagens dependentes apenas de assinaturas revelam-se insuficientes para bloquear os sofisticados ataques modernos, destacando a necessidade de uma defesa mais adaptativa e contextualizada.
- Mitigar vulnerabilidades: Tradicionalmente desafiadora devido às diferenças de velocidade nos processos, a integração entre segurança e desenvolvimento é crucial. Técnicas eficazes incluem feedbacks contínuos e compreensíveis, sem interromper o fluxo de desenvolvimento. Em uma estratégia bem-sucedida para proteção de APIs, a descoberta automática não só identifica APIs, mas também revela vulnerabilidades antes de possíveis ataques, permitindo correções proativas durante o ciclo de desenvolvimento.
O modelo de superfície de ataque e as ações maliciosas evoluíram, evidenciando a necessidade clara de contínua evolução nas estratégias de proteção. Essas estratégias devem abraçar inovações tecnológicas, como inteligência artificial e aprendizado de máquina. Além disso, é fundamental aprimorar a integração com áreas críticas para as estratégias de negócio, especialmente equipes de segurança, operação e desenvolvimento. Essas equipes desempenham papéis cruciais na segurança, lançamento e manutenção das APIs, sendo essencial uma abordagem holística para enfrentar os desafios modernos.
