04 de Dezembro de 2024

APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º

APIs sob ataque: a importância de o CISO contar com uma estratégia de 360º
Pedro Bellucci é Channel Sales Manager da Hillstone Brasil

12.08.2024

A cultura de proteção de APIs (Application Programming Interfaces) no Brasil está cada vez mais forte: os CISOs estão preocupados com o desenvolvimento de suas aplicações e a integração entre essas plataformas e Apps rodando em outras organizações. É um quadro onde dados críticos não estão sob o controle do gestor da empresa consumidora desses dados. 

Uma API é semelhante a um portador físico encarregado de transportar dinheiro de um lugar para outro. Se esse portador for visto como vulnerável de alguma maneira, o risco de ele ser atacado aumenta muito. Isso é válido também para APIs em ambientes de nuvem.

 

Há quatro ameaças com forte impacto sobre as APIs

1. Autenticação fraca

Mecanismos fracos de autenticação convidam os atores de ameaças a atacar aplicações na nuvem. Tais mecanismos incluem coisas como senhas rudimentares e acesso sem ter de passar por controles de autorização.

2. Ataques de injeção

APIs inadequadamente protegidas são um convite aberto a certos tipos de ataques de injeção. Um ataque de SQL injetaria código malicioso via chamadas de API para obter acesso não autorizado.

3. Transmissão insegura

APIs inseguras são suscetíveis à transmissão de dados insegura. Quando isso acontece, tudo está em risco – desde credenciais de usuários até informações financeiras.

4. Ausência de limitação de taxa

A limitação de taxa é evita sobrecarregar uma API com solicitações de dados. Quando a limitação de taxa não é utilizada, ataques DDoS e outras estratégias que sobrecarregam as aplicações são facilmente implantadas.

Com o crescente uso de Bots e tecnologias de inteligência artificial por parte dos criminosos digitais, é essencial contar com uma estratégia que seja eficaz nas várias frentes de proteção das APIs. Os atacantes não usam somente um caminho de ataque: usam todos simultaneamente e em alto volume de tentativas de violação.

 

MSSPs podem contribuir com a postura de segurança da empresa usuária

A crescente dependência de dados vindos de APIs tem levado os CISOs a priorizar serviços e soluções de proteção dessas linguagens críticas. Uma característica do nosso mercado – a falta de profissionais de cybersecurity preparados para enfrentar ameaças avançadas – algumas vezes prejudica a eficácia da luta contra o crime.  

Vale a pena analisar ofertas de serviços gerenciados de segurança entregues por equipes com experiência real e comprovada na área. A soma desses dois skills – profissionais continuamente treinados e certificados nas melhores práticas de segurança digital e provedores de serviços com processos bem desenhados – é fortalecida, nos MSSPs, pelo uso de tecnologias de proteção de APIs de última geração. Para o CISO, esta pode ser uma resposta de 360º para o imenso desafio de defender APIs críticas para o negócio e para o crescimento da economia digital do Brasil.

Veja Também
gestão e empreendedorismo

Cinco mitos sobre a tecnologia de impressão jato de tinta para empresas e negócios

08/02/2023 - Por Glauco Ferreira* A cabeça de impressão fica entupida ou seca com frequência. Fato: A maioria das impressoras a jato de tinta corporativas Epson contam com a tecnologia PrecisionCore e tintas DURABrite®, que ajudam a evitar entupimentos no bocal. O executivo ressalta que "a tecnologia de verificação incorporada ao componente monitora o status dos injetores; detectando e ajustando automaticamente o…
Radar Industrial