Cibercrime está mirando as APIs, afirma especialista

O número de incidentes relacionados à segurança das APIs mais do que dobrou ao longo do último ano. Para Daniela Costa, diretora para a América Latina e Canadá da Salt Security, passada a busca frenética pelas ofertas que geraram a já tradicional corrida dos consumidores ao comércio on-line sob o guarda-chuva da Black Friday e da Cyber Monday, é tempo de refletir sobre o fato de que cresce a cada dia o número de ataques criminosos contra as infraestruturas de TI das empresas dos mais diversos segmentos e diferentes portes. 

“É um cenário previsível, uma vez que cada vez mais as APIs são empregadas para facilitar as operações de comércio eletrônico, conectando aplicativos móveis, sites e sistemas de back-end para permitir melhores experiências de compra”, destaca a executiva, lembrando que os varejistas formam um grupo de alto risco pois dependem muito de APIs para lidar com ações sensíveis como a autenticação do usuário, gerenciamento de estoques, processamento de pagamentos e integração com serviços de terceiros, como ferramentas de logística ou marketing.

Buscando se posicionar à frente dos concorrentes, as empresas de comércio on-line apostam na agilidade para colocar suas ofertas o quanto antes para os consumidores. Embora a velocidade de entrada no mercado seja essencial, deixar de priorizar a segurança pode levar a violações devastadoras. “Os cibercriminosos estão bem cientes das vulnerabilidades criadas por essa corrida. APIs sem autenticação adequada ou mecanismos de limitação de taxa podem ser alvo de invasões de contas, roubo de dados ou ataques de negação de serviço”, alerta Daniela Costa.

A executiva identifica quatro armadilhas comuns quando se pensa em segurança de APIs:

  • Erros de desenvolvimento: práticas de codificação inseguras, como codificação de credenciais confidenciais ou falha na limpeza de entradas, podem deixar as APIs vulneráveis a ataques como injeção de SQL ou cross-site scripting.
  • Projetos de arquitetura inadequados: APIs mal projetadas podem expor endpoints desnecessários ou não implementar o princípio de privilégios mínimos, aumentando a superfície de ataque.
  • Configurações incorretas: controles de acesso, configurações de criptografia ou mecanismos de registro mal configurados podem inadvertidamente abrir a porta para usuários não autorizados ou dificultar a detecção de atividades maliciosas.
  • Falta de proteções de tempo de execução: APIs implantadas em produção sem mecanismos de defesa adequados, como firewalls ou sistemas de detecção de anomalias, são alvos fáceis para invasores oportunistas.

Após reconhecer que muitas organizações ainda carecem dessa maturidade em suas estratégias de segurança, a executiva afirmou ser fundamental entender que é possível incorporar camadas de segurança sem comprometer a inovação, o que pode ser feito através de uma abordagem proativa que deve incluir:

  • Teste de segurança automatizado: a integração de ferramentas para verificação de vulnerabilidades de API e pentests em pipelines de CI/CD garantem que os problemas de segurança sejam identificados e resolvidos antecipadamente.
  • Monitoramento contínuo: o monitoramento em tempo real do tráfego de API pode ajudar a detectar e mitigar ameaças antes que elas aumentem.
  • Educação e colaboração: garantir que todas as partes interessadas, de desenvolvedores a executivos, entendam a importância da segurança da API promove uma cultura de responsabilidade compartilhada.

“As APIs cada vez mais são utilizadas pelas empresas de comércio eletrônico. Por elas trafegam inúmeras informações sensíveis como dados relativos à autenticação do usuário e dados para o processamento dos pagamentos incluindo cartões de crédito. As APIs também são responsáveis pela integração de serviços com terceiros, incluindo o controle de estoques, para permitir uma experiência de compra mais ágil”, avalia a executiva.

“Este cenário faz com que as APIs cada vez sejam mais visadas pelos cibercriminosos, que não limitam seus ataques apenas a períodos de maior movimento como as ofertas para a Black Friday ou para as festas de final de ano. As empresas que atuam neste segmento devem estar preparadas para enfrentar as ameaças às suas infraestruturas de TI durante as 24 horas de cada dia”, resume Daniela Costa.

DINO

Share
Published by
DINO

Recent Posts

Lumi Global adquire a Assembly Voting para fortalecer a liderança de produtos e acelerar a expansão internacional

LIPHOOK, Reino Unido, Dec. 22, 2024 (GLOBE NEWSWIRE) -- A Lumi Global, líder global em…

13 horas ago

PGR envia ao STF parecer para manter prisão de Braga Netto

A Procuradoria-Geral da República (PGR) enviou nesta sexta-feira (20) ao Supremo Tribunal Federal (STF) parecer…

1 dia ago

Apresentador de TV tacha Lula de desgraçado, filho de uma égua e ladrão; veja vídeo

O apresentador José Eduardo Bocão abriu as baterias contra o presidente Lula (PT) por conta…

2 dias ago

Brasil é 50º em inovação no mundo e líder na América Latina

O Brasil lidera em inovação na América Latina. Apesar de desafios, investimentos públicos e políticas…

3 dias ago

Caminhos para Romper os Ciclos de Abuso Psicológico Feminino

Psicóloga ressalta a urgência de políticas públicas para apoiar as vítimas de abuso emocional

3 dias ago

Thermas Resort Walter World abre campanha Réveillon 2025

O hotel, localizado no Sul de Minas Gerais, contará com atrações dedicadas a adultos e…

3 dias ago