A maioria das ameaças à segurança de APIs e dos dados que por elas transitam decorre de erros internos não intencionais, de acordo com o Relatório de Investigações de Violações de Dados 2022 da Verizon, o qual revela que grande parte das violações envolveu o elemento humano, que inclui ataques de engenharia social, erros ou uso indevido. “Esta variável não tem recebido a devida atenção nas estratégias de proteção cibernética das empresas”, comenta Daniela Costa, diretora para a América Latina da Salt Security. Ela cita que ao analisar mais de 23 mil incidentes de segurança e 5.200 violações confirmadas, o relatório detectou que 74% das violações envolveram o elemento humano.
A realidade, segundo Daniela, é que, em muitos casos, os funcionários nem percebem que podem estar inadvertidamente criando riscos de segurança para sua organização. “Ameaças internas não intencionais com APIs são bem mais frequentes do que imaginamos.”
A Salt Security elencou três descuidos comuns que podem trazer resultados devastadores. O primeiro deles é a ausência de controles de segurança. Com a explosão da demanda por APIs, hoje o elemento de tecnologia mais essencial para as iniciativas de digitalização, veio a pressa para fornecer serviços novos e competitivos, fazendo que as empresas muitas vezes levem suas APIs para a produção sem uma adequada auditoria de segurança.
Outro risco surge quando os desenvolvedores escrevem APIs internas, pois normalmente eles não aplicam os mesmos controles de segurança que fariam em APIs externas, já que o uso deve ser limitado apenas a funcionários e sistemas internos. Às vezes, no entanto, essas APIs internas passam a ser acessadas de fora, seja porque um ambiente fica exposto ou porque um desenvolvedor deseja reutilizar uma API em um aplicativo diferente, desta vez voltado para o público.
Veja isso
Segurança é maior entrave para monetização de APIs, diz estudo
Invasões a APIs de serviços financeiros sobem 244% em 2022
O terceiro fator a ser considerado é a falta de governança. A expansão das APIs torna difícil para as empresas fazer o correto acompanhamento e gerenciamento. Para proteger as APIs, as organizações precisam de um inventário completo e atual de todas as APIs (internas, externas e de terceiros) que estão em execução em sua infraestrutura. Como as APIs estão sendo implantadas muito rapidamente, os inventários e a documentação acabam não se mantendo atualizados.O custo médio global de uma violação de dados, segundo relatório recente da IBM Security, chegou aos US$ 4,45 milhões, registrando um aumento de 15% ao longo dos últimos três anos.
“Diante de valores tão expressivos fica clara a importância de se difundir nas empresas uma cultura de segurança para minimizar os riscos acima citados”, enfatiza Daniela. Segundo ela, esta postura deve vir acompanhada da adoção de uma solução de proteção das APIs capaz de entender como os ataques ocorrem, capaz de levantar informações sobre comportamentos anormais de acesso ao logo do tempo através da combinação de inteligência artificial (IA) e machine learning com big data em escala de nuvem. “Somente o estado da arte em tecnologia de segurança de APIs pode efetivamente combater a constante sofisticação dos cibercriminosos”, conclui.
