APIs fragéis podem estar colocando finanças em risco

Quatro grandes fatores trazem urgência para um aperfeiçoamento na segurança das APIs
Da Redação
31/05/2022

O risco de intrusão nos serviços financeiros por meio de suas APIs nunca foi tão grande: ao mesmo tempo em inovam e trazem com rapidez experiências e serviços exclusivos para os clientes, as organizações de serviços financeiros estão ampliando por meio das APIs a sua superfície de ataque. Há grandes fatores trazendo uma urgência de aperfeiçoamentos para a segurança das APIs, alerta Daniela Costa, diretora de vendas para a América Latina da Salt Security, empresa israelense que se especializou em segurança para esse tipo de interface.

Veja isso
Plataforma OAS vulnerável a bugs críticos de acesso RCE e API
380 mil servidores de API Kubernetes expostos; 3 mil aqui

Segundo ela, “para alimentar os serviços digitais de hoje, as organizações estão construindo APIs como nunca se viu, muito mais rapidamente e as transformando com muito mais frequência do que no passado”. Mais de 3/4 dos desenvolvedores de software dizem que participar da economia de API é ou será uma prioridade de negócios para sua organização. “No entanto, nos serviços financeiros esse número é ainda maior, passando dos 80% e superando todas as outras indústrias”, detalha Daniela. Estes são segundo ela os fatores que demandam urgência na segurança de APIs:

  • O uso da API aumentará ainda mais

Nos serviços financeiros, a trajetória de alto crescimento das APIs continuará. Elas fornecem a conexão de dados necessária para suportar os aplicativos financeiros móveis atuais e os sistemas de pagamento peer-to-peer. As APIs estão no centro do open banking, permitindo que as empresas de serviços financeiros padronizem a forma como se conectam e trocam dados. Isso viabiliza que as informações financeiras dos consumidores sejam compartilhadas instantaneamente entre organizações e provedores de serviços de terceiros.  Com diferentes parceiros e fornecedores de tecnologia, as conexões de API estão sendo continuamente adicionadas ao ecossistema financeiro.

Além disso, o crescimento do open banking apenas começou. De acordo com Simon Torrance e Bain Capital, os novos mercados de finanças embarcadas habilitados pelo open banking atingirão US$ 3,6 trilhões de participação de mercado até 2030, somente nos Estados Unidos. Para os serviços financeiros, isso significa ainda mais APIs e uma superfície de ataque em crescimento contínuo que deve ser adequadamente protegida.

  • Ataques de API ameaçam as principais iniciativas empresariais

O open banking dá aos consumidores mais opções e conveniência para atender às suas necessidades financeiras. Ele também aumenta a concorrência em todo o setor de serviços financeiros e gera novas receitas, oferecendo às instituições financeiras mais tradicionais a oportunidade de competir com a agilidade das fintechs.

“A digitalização tornou-se uma iniciativa crítica de negócios e é cada vez mais importante em serviços financeiros. No entanto, sem a capacidade de proteger os dados que estão sendo usados dentro desses serviços, as organizações financeiras perdem essa oportunidade inteiramente. Aproveitar essas oportunidades de negócios exige a proteção das APIs e apenas um ataque bem-sucedido tem o potencial de eliminar todos os ganhos obtidos com a transformação digital de uma organização”, analisa Daniela.

  • Incidentes de segurança da API minam a confiança do consumidor

Uma vez que se perde a confiança é muito difícil recuperá-la e nos serviços financeiros os custos podem ser bastante elevados. O Salt Labs, braço de pesquisa da Salt Security, em seu relatório mais recente, descobriu uma vulnerabilidade em uma grande plataforma fintech que fornece uma ampla gama de serviços de banco digital para centenas de bancos e milhões de clientes.

A vulnerabilidade tinha o potencial de comprometer cada conta de usuário e dados de transação atendidos por seus bancos de clientes, chegando a permitir transferências de fundos não autorizados para as contas bancárias dos invasores. Esse pesadelo não ocorreu porque o problema foi identificado antes que os criminosos o fizessem. Não é difícil imaginar os prejuízos financeiros e à imagem da organização. A natureza dos aplicativos de serviços financeiros é trocar dados sensíveis, tornando as APIs um ativo de alto risco que exige proteção.

  • Soluções tradicionais não oferecem proteção adequada à API

A maioria das empresas de serviços financeiros tem pilhas de segurança de tempo de execução sofisticadas com várias camadas de ferramentas de segurança, como mitigação de bots, WAFs e gateways de API. Essas ferramentas tradicionais fornecem recursos de segurança fundamentais e proteção para as aplicações tradicionais; no entanto, elas não têm o contexto necessário para identificar e parar ataques que visam a lógica única de cada API.

“A segurança da API requer big data para capturar todo o tráfego de API e inteligência artificial (IA) e machine learning (ML) para analisar continuamente os grandes volumes de tráfego. Sem a análise contínua do tráfego, não é possível entender o comportamento normal para cada API e obter o contexto necessário para identificar os atacantes”, alerta Daniela.

Além disso, enquanto o open banking define padrões em torno de como as APIs devem ser estruturadas para permitir integrações e comunicações previsíveis, o open banking não fornece nenhum padrão para atender ao principal dos requisitos de segurança da API. Os controles básicos, como autenticação, autorização e criptografia, não conseguem enfrentar os desafios de segurança das APIs.

  • A segurança da API deve estar na vanguarda dos serviços financeiros

Violações de dados financeiros custam ao negócio em termos de conformidade com a legislação e multas regulatórias, gerando perda de receita e causando danos irreparáveis à imagem de uma organização. Reputação é tudo no altamente competitivo mercado de serviços financeiros.

“As organizações que atuam nesse mercado devem priorizar a segurança das APIs para proteger essa crescente superfície de ataque. Para isso, é necessária uma ferramenta de segurança capaz de cobrir todo o ciclo de vida da API, fornecendo visibilidade contínua da superfície de ataque, prevenção antecipada das ações criminosas e insights automatizados para melhoria contínua da API”, destaca Daniela Costa.

Compartilhar:

Últimas Notícias