Recente pesquisa divulgada pela Salt Labs aponta um crescimento acentuado de falhas de segurança provocadas pelo uso intensivo de APIs (Application Programming Interface). No entanto, este é um caminho para o qual os especialistas não veem retorno. As interfaces podem ser aplicadas na integração entre ferramentas de automação de marketing digital, habilitação de funcionalidades em websites, desenvolvimento de softwares públicos e privados, criação de apps mobile e aplicação de internet das coisas na criação de soluções. Ou seja, aceleram o lançamento e a evolução dos negócios digitais.
Então, o que fazer para garantir a segurança das plataformas, visto que que 94% dos entrevistados para o estudo feito pela Salt Labs apontam que tiveram problemas de segurança na produção de APIs no ano passado?
Rodrigo Fernandes, gerente de segurança para América Latina da Logicalis, diz que a saída está nas mãos dos profissionais que lidam com as ferramentas no dia a dia. Para ele, estas equipes devem conhecer a arquitetura do negócio, para inserir recursos de cibersegurança na integração das plataformas, além de aprender com as falhas já registradas.
“Precisamos ajustar o mindset, sair um pouco do viés tecnológico e olhar as características do negócio – o produto ou serviço”, diz Fernandes.
Uma API é uma interface de programação de aplicativos que permite a interação controlada entre diferentes programas de software. São inúmeros os casos bem-sucedidos de soluções viabilizadas por APIs que se popularizaram junto ao público e, hoje, já fazem parte do cotidiano da população. No Brasil, exemplos de sucesso são APIs de geolocalização em aplicativos de transporte de passageiros e delivery de comida.
O crescimento do e-commerce brasileiro, que foi acelerado durante o período de pandemia, e o consequente aumento na demanda de ambientes digitais eficientes e seguros estão diretamente ligados ao mercado das APIs, visto que as interfaces garantem a segurança, agilidade e estabilidade destes ambientes.
Além dos ambientes de comércio digital, há um expressivo crescimento nas demandas geradas por plataformas Open, que são sustentadas pela integração de informações de diferentes bancos de dados em um ecossistema aberto e, também, precisam de garantias de eficiência para as instituições e para seus clientes.
O Relatório sobre o Estado da Segurança de API da Salt Labs mostra que 20% dos 350 entrevistados, que trabalham na área de cibersegurança ou TI de empresas de diferentes tamanhos, sofreram violação de dados como resultado de falhas de segurança nas APIs.
Segundo o estudo, o tráfego de ataque às APIs dobrou nos últimos 12 meses. Juntas, estas constatações destacam que as soluções existentes e as medidas de segurança focadas em estratégias de testes na fase inicial de seu desenvolvimento estão falhando em proteger adequadamente as APIs.
O relatório do terceiro trimestre de 2022 detectou que os clientes da Salt experimentaram um aumento de 117% no tráfego de ataque às API, enquanto o tráfego geral de API cresceu 168%, com destaque para a expansão contínua do uso de API corporativa.
Com o tráfego de API malicioso representando 2,1% do tráfego geral, as tentativas de ataque de API passaram da média há um ano de 12,22 milhões de chamadas maliciosas por mês para uma média de 26,46 milhões de chamadas em junho passado. Entre os clientes da Salt, 44% sofrem uma média de 11 a 100 tentativas de ataque por mês e 34% sofrem mais de 100 tentativas mensais, com 8% sofrendo mais de 1.000.
“Se olharmos o copo meio cheio, os ataques são alavancas de oportunidade para a gente elevar o nível de maturidade das equipes de profissionais. Mas, em contrapartida, temos novas APIs a cada dia, com novos vetores de ataque. Por isto, precisamos aperfeiçoar o monitoramento e o gerenciamento. Precisamos ter a parte de visibilidade muito reativa”, afirma Fernandes.
Trocando em miúdos, o especialista sugere o uso intensivo de ferramentas de inteligência artificial e machine learning, além de todas as novas tecnologias que permitam às equipes avançarem em um modelo proativo de proteção. “Só assim conseguimos mitigar os ataques em tempo real e entender a estrutura do ataque para preparar o nosso time”, declara. “Não se trata apenas de adotar a tecnologia. Precisamos ajustar o mindset culturalmente, adaptar os times operacionais e táticos, e pensar no que fazer com a tecnologia depois que os problemas forem resolvidos”, finaliza.
