Por que a segurança de APIs deve ser prioridade absoluta dos CISOs

Daniela Costa*
22/02/2023

Estudo realizado pela Cybersecurity Ventures aponta que os custos globais do cibercrime cresçam 15% ao ano ao longo dos próximos cinco anos, atingindo US $ 10,5 trilhões anuais até 2025, contra US$ 3 trilhões registrados em 2015. Ao colocar em risco a própria sobrevivência das empresas, a magnitude deste problema não pode mais passar despercebida. Estamos falando de um lucro ilegal comparável com o comércio de drogas ilícitas.

Estes valores astronômicos não incluem os enormes prejuízos, muitas vezes irrecuperáveis, causados à reputação de uma marca junto ao mercado. Não se pode mais imaginar o acesso ao mercado em larga escala sem o uso da Internet e este acesso cada vez mais passa pelo emprego de APIs, o que torna irreversível o seu crescimento exponencial. 

O fato de os usuários finais de APIs nem saberem o que é uma API dá uma dimensão da magnitude do problema. O certo é que os cibercriminosos seguramente sabem como as APIs funcionam e já as elegeram como um alvo prioritário para suas ações criminosas. Daí a necessidade da adoção de medidas de segurança eficazes para proteger as APIs.

Como toda API é única, cada ataque tem características próprias e se desenvolve de forma lenta e sutil na busca por falhas. Um único ataque de API pode levar horas, dias ou até semanas. Para analisar de forma contínua grandes volumes de tráfego pelas APIs é fundamental o emprego combinado de Big Data em escala na nuvem com inteligência artificial e machine learning para estabelecer um padrão de comportamento confiável e identificar anomalias.

O investimento em uma solução eficaz está mais do que justificado quando se analisa o atual cenário de ameaças. Analisando o quadro brasileiro, a perspectiva é de que a Autoridade Nacional de Proteção de Dados Pessoais (ANDP) tenha um papel cada vez mais ativo na implementação e na fiscalização do cumprimento da LGPD. Isto implica não só em pesadas multas sobre o faturamento das empresas que tiveram violados os dados sob sua proteção como pode chegar a cenários de suspensão parcial, e até total, do funcionamento dos seus banco de dados. 

Frente a essas realidades, a adoção de uma solução abrangente e eficaz de segurança de API cada vez mais é uma prioridade absoluta nas agendas dos CISOs.

*Daniela Costa é diretora para a América Latina da Salt Security.

Compartilhar: