BLOG

Cinco áreas onde a proteção aprimorada de API amplia a segurança em serviços financeiros

Joshua Goldfarb Miniatura
Josué Goldfarb
Publicado em 20 de setembro de 2023

Segurança de API é um assunto importante hoje em dia e por um bom motivo. Se pensarmos bem, a maioria das organizações de serviços financeiros se tornou mais parecida com empresas de tecnologia. Eles são constantemente pressionados a inovar, a acompanhar o ritmo das FinTechs que estão desafiando os padrões para atender às demandas dos clientes digitais — ou até mesmo a fazer parcerias com elas. O ecossistema de serviços financeiros evoluído resultante, que incorpora FinTechs por meio de APIs, levou a um crescimento significativo no movimento de finanças abertas. Isso torna as instituições de serviços financeiros mais dependentes do que nunca das APIs para manter seus negócios funcionando.

Não é de surpreender que, assim como os bancos perceberam a importância das APIs, os invasores também perceberam. APIs críticas aos negócios são constantemente alvos de invasores, que percebem que podem lucrar ou se beneficiar de alguma forma explorando, abusando e/ou comprometendo APIs. Ao mesmo tempo, a superfície de ataque aumentou significativamente nos últimos anos. Isso se deve em grande parte à crescente complexidade e dificuldade em gerenciar ambientes híbridos e multinuvem que tomaram conta do setor. Tudo isso cria impactos comerciais significativos na forma de violações de dados em larga escala, problemas de conformidade e multas regulatórias.

As notícias não são todas ruins, é claro. Quando organizações de serviços financeiros trabalham com um parceiro confiável, elas podem se proteger melhor contra ameaças às suas APIs. Vamos dar uma olhada em cinco áreas nas quais o parceiro confiável certo pode ajudar a melhorar a segurança da API.

  1. Desenvolvimento: As equipes de desenvolvimento enfrentam um desafio difícil. Por um lado, eles enfrentam prazos rígidos para desenvolver a funcionalidade necessária e fazê-la funcionar. Por outro lado, eles desenvolvem APIs de acordo com os requisitos definidos pela equipe de segurança. No entanto, não há uma maneira real de impor esses requisitos ou verificá-los de alguma forma. Claro, o código pode ser auditado e revisado, mas esse é um processo tedioso e demorado, propenso a erros humanos e descuidos. É também um processo que muitas vezes fica em segundo plano em relação a outras prioridades importantes. Os desenvolvedores geralmente superam significativamente os profissionais de segurança na maioria das empresas, o que cria um problema de escala. Como resultado, bugs, descuidos e vulnerabilidades passam pelo processo de desenvolvimento e chegam às APIs de produção. Somente a automação pode ajudar a dimensionar os controles de segurança, evitando que a equipe de segurança atrapalhe e diminua o ritmo exigido pelos negócios. Trabalhar com um parceiro confiável para aplicar automaticamente esquemas, padrões e políticas é uma maneira melhor.
  2. Controle de acesso: Acredite ou não, controlar quem tem qual acesso às APIs ainda é um desafio. Se você considerar a complexidade dos negócios modernos, isso pode não ser tão difícil de acreditar. A maioria das empresas tem dois ou mais provedores de nuvem, além de ambientes locais e/ou de data center. Geralmente, várias equipes são necessárias para gerenciar as pilhas de rede, tecnologia, desenvolvimento e segurança em cada um desses locais distintos. Portanto, não é de surpreender que controlar (e monitorar) o acesso às APIs tenha se tornado um sério desafio. Na verdade, quatro das 10 principais API Security da OWASP de 2023 estão relacionadas à autenticação/autorização. O provedor confiável certo pode ajudar a trazer simplicidade à complexidade e calma aos sobrecarregados. Isso permite que a empresa se concentre totalmente na operação, manutenção e proteção desses ambientes, incluindo o controle de acesso adequado.
  3. APIs desonestas: Às vezes, os processos formais demoram e os desenvolvedores criam novas infraestruturas e endpoints para cumprir um prazo de desenvolvimento. Ou talvez a infraestrutura e os endpoints tenham passado despercebidos e nunca tenham sido devidamente inventariados, gerenciados, monitorados e protegidos. Não importa o motivo, APIs desonestas estão por aí. Quando uma API não é conhecida, ela não pode ser inventariada, gerenciada, monitorada e protegida. Um parceiro bom e confiável ajudará a empresa não apenas a detectar APIs desconhecidas, mas também a protegê-las.
  4. WAF não é suficiente: Não há dúvida de que os firewalls de aplicativos da web (WAFs) são um elemento essencial em uma pilha de segurança. Os WAFs fornecem proteção importante contra uma ampla variedade de ameaças. Mas eles nunca foram pensados para serem uma solução definitiva para todos os tipos de ataques lançados diariamente contra APIs. Além disso, as APIs estão evoluindo rapidamente, o que significa que elas assumem classes inteiramente novas de vulnerabilidades que os controles de segurança podem não perceber. Nenhuma oferta de um parceiro confiável estará completa a menos que ele forneça, além e integrado ao WAF , recursos sofisticados para identificar e mitigar vulnerabilidades de API.
  5. Ataques sofisticados: Já se foram os dias em que os aplicativos eram alvos de ataques comuns e conhecidos. Atacantes sofisticados lançam ataques sofisticados, ou seja, aqueles que passam despercebidos para expor fluxos comerciais confidenciais, extrair dados, causar fraudes, derrubar aplicativos e arruinar reputações. Isso inclui ataques manuais e ataques automatizados (bot). Identificar, detectar e mitigar esses tipos sofisticados de ataques exige conhecimento especializado. A defesa contra os ataques mais sofisticados deve fazer parte da oferta de segurança de API de qualquer parceiro confiável.

É claro que esta não é uma lista exaustiva. Cada organização de serviços financeiros deve revisar seu registro de riscos para entender quais riscos e ameaças provavelmente terão o maior impacto nos negócios. Aqueles que provavelmente terão um impacto mais severo podem receber maior prioridade. É importante observar, no entanto, que muitos líderes podem não saber como avaliar de forma mais eficaz a verdadeira extensão do risco de segurança da API. Isso torna ainda mais importante trabalhar com o parceiro certo. Os riscos relacionados à segurança de APIs devem, idealmente, estar no topo da lista, o que os torna um tópico prioritário que merece investimento. Isso inclui trabalhar com o parceiro certo que entende a importância da segurança da API e traz consigo as soluções certas.

Para mais informações, visite Segurança cibernética para serviços bancários e financeiros .