Por Daniela Costa, diretora para a América Latina da Salt Security
Black Friday virou sinônimo de compartilhamento de felicidade entre vendedores e consumidores, com as promoções impulsionando exponencialmente as vendas, fazendo que um universo cada vez maior de pessoas tenha acesso aos seus sonhos de consumo. Esta relação harmoniosa tem sido frequentemente posta à prova pelos cibercriminosos, que aproveitam a chegada de um contingente cada vez maior de compradores online para disparar o seu arsenal de fraudes.
Esta realidade tem feito com que a cada novembro surja uma série de artigos e reportagens alertando os consumidores para os perigos das compras pela Internet e sobre as ações preventivas mais indicadas para evitar prejuízos com o roubo de dados e de informações pessoais. Porém, as empresas que comercializam seus produtos e serviços online também precisam ser alertadas. Os cibercriminosos cada vez mais estão ansiosos pela chegada da Black Friday e atentos ao lado mais lucrativo desta equação.
O aumento de acessos motivado pelas promoções especiais de final de ano é composto não apenas por consumidores buscando as melhores ofertas. Os maus atores também aguardam ansiosos este momento de incremento das vendas. A chegada da Black Friday é um momento mais do que adequado para as empresas se conscientizarem das medidas de proteção necessárias para tornar suas APIs mais seguras.
Quatro medidas podem ser decisivas para manter os problemas longe desta relação de felicidade entre vendedores e consumidores. São elas:
Manter um inventário preciso
As organizações devem antes de mais nada ter um inventário completo das APIs ativas em sua infraestrutura. Afinal, as empresas apontaram as APIs desatualizadas como sua maior preocupação de segurança nas últimas quatro edições o Relatório sobre o Estado da Segurança de API da Salt Labs. Este esforço deve ser permanente, atualizado de forma contínua e automática, se considerarmos o ritmo acelerado de atualizações das APIs. Afinal, de acordo com a pesquisa da Salt Labs, 31% das organizações atualizam suas APIs semanalmente e 11% atualizam as APIs diariamente.
Entender como se desenrolam os ataques
As APIs foram criadas com base tanto na lógica de negócios como na lógica dos aplicativos subjacentes e os riscos de segurança mais significativos decorrem de falhas relacionadas com a lógica de negócios. Nos ataques de lógica de aplicativos, os hackers buscam brechas como a obtenção de acesso não autorizado a dados ou funcionalidades dentro da API, ou fraquezas para lançar ataques pontuais. Os invasores fazem várias chamadas de API como parte de seus esforços de reconhecimento. As organizações devem ser capazes de detectar vulnerabilidades baseadas em lógica nas APIs, o que requer contexto de lógica de negócios.
Mantenha-se informado sobre as principais vulnerabilidades da API
Para ajudar as empresas a entender e reduzir as vulnerabilidades exclusivas de API bem como as crescentes ameaças contra elas, a OWASP publicou o OWASP API Security Top 10. Apesar do imenso valor desta lista, que inclui descrições detalhadas e exemplos de cenários de ataque para ameaças, as pesquisas mostram que apenas 55% das organizações atualmente a usam como parte de seu programa de segurança. Trata-se de um valioso recurso nitidamente subutilizado. Pode apostar que os cibercriminosos já leram atentamente esta lista…
Adote uma estratégia holística
Para proteger suas APIs, as organizações devem analisar grandes quantidades de tráfego e de atividade ao longo do tempo. Detectar padrões de abuso e de ataque requer um monitoramento contextual profundo e contínuo de milhões de chamadas de APIs e de usuários. A análise de dados em larga escala, quase em tempo real, educa as equipes sobre a atividade típica da API e revela as anomalias: esse é o tipo de contexto que as equipes precisam para detectar ataques e vulnerabilidades da API antes que ocorra uma violação. Somente a combinação de Big Data em escala de nuvem combinada com IA e ML pode coletar, armazenar e analisar rapidamente milhares de atributos estruturais e comportamentais em milhões de usuários e chamadas de API, fazendo uma correlação quase que em tempo real para identificar com precisão a intenção do usuário.
Infelizmente, todos estes desafios não terminam após a Black Friday. Com o crescimento exponencial das APIs associado às dificuldades de proteger esta nova camada, tão crítica para os negócios é essencial poder contar com uma tecnologia de ponta capaz de combinar Machine Learning e Inteligência Artificial para simplificar e apoiar o trabalho das equipes internas de segurança, governança e desenvolvimento.
Sobre Salt Security
Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção à API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Apenas a Salt Security tem a capacidade de correlacionar atividades em milhões de APIs e usuários ao longo do tempo e fornecer análise em tempo real de todos esses dados. Implantada rapidamente, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes. Para mais informações, visite: https://salt.security