A Salt Security alerta para o fato de que a maioria das ameaças à segurança de APIs e dos dados que por elas transitam decorre de erros internos não intencionais. “Esta variável não tem recebido a devida atenção nas estratégias de proteção cibernética das empresas”, comenta Daniela Costa, citando que, ao analisar mais de 23.000 incidentes de segurança e 5.200 violações confirmadas, o Relatório de Investigações de Violação de Dados da Verizon de 2022 detectou que 82% das violações envolveram o elemento “humano”.
A realidade é que, em muitos casos, os funcionários nem percebem que podem estar inadvertidamente criando riscos de segurança para sua organização. Ameaças internas não intencionais com APIs são bem mais frequentes do que imaginamos. A Salt Security elencou três descuidos comuns que podem trazer resultados devastadores.
O primeiro deles é a ausência de controles de segurança. Com a explosão da demanda por APIs, hoje o elemento de tecnologia mais essencial para as iniciativas de digitalização, veio a pressa para fornecer serviços novos e competitivos, fazendo que as empresas muitas vezes levem suas APIs para a produção sem uma adequada auditoria de segurança.
Outro risco surge quando os desenvolvedores escrevem APIs internas, pois normalmente eles não aplicam os mesmos controles de segurança que fariam em APIs externas, já que o uso deve ser limitado apenas a funcionários e sistemas internos. Às vezes, no entanto, essas APIs internas passam a ser acessadas de fora, seja porque um ambiente fica exposto ou porque um desenvolvedor deseja reutilizar uma API em um aplicativo diferente, desta vez voltado para o público.
O terceiro fator a ser considerado é a falta de governança. A expansão das APIs torna difícil para as empresas fazer o correto acompanhamento e gerenciamento. Para proteger as APIs, as organizações precisam de um inventário completo e atual de todas as APIs (internas, externas e de terceiros) que estão em execução em sua infraestrutura. Como as APIs estão sendo implantadas muito rapidamente, os inventários e a documentação acabam não se mantendo atualizados.
O custo médio global de uma violação de dados, segundo recente relatório da IBM Security, chegou aos US$ 4,45 milhões, registrando um aumento de 15% ao longo dos últimos três anos. “Diante de valores tão expressivos fica clara a importância de se difundir nas empresas uma cultura de segurança para minimizar os riscos acima citados. Esta postura deve vir acompanhada da adoção de uma solução de proteção das APIs capaz de entender como os ataques ocorrem, capaz de levantar informações sobre comportamentos anormais de acesso ao logo do tempo através da combinação de IA e Machine Learning com big data em escala de nuvem. Somente o estado da arte em tecnologia de segurança de APIs pode efetivamente combater a constante sofisticação dos cibercriminosos”, conclui Daniela Costa.
