O ransomware é um problema, mas suas APIs são um risco iminente

O ransomware tem tirado o sono de vários gestores de Segurança da Informação nos últimos meses, mas existe um risco iminente e que tem passado despercebido: as APIs. Isso não é exatamente uma novidade: o Gartner já tinha reportado que até 2022 as APIs se tornariam o principal vetor de ataque – e se hoje isso já não acontece, estamos claramente no caminho deste cenário.

Várias pesquisas globais realizadas entre 2020 e 2021 reportaram o mesmo cenário. Com a rápida migração para a nuvem que aconteceu justamente nesses últimos dois anos, as APIs abriram a porta para sistemas, transações e dados – extremamente acessíveis. E a nossa dependência de APIs só aumenta.

Uma ampla variedade de tipos de dados confidenciais é processada por APIs, como credenciais de usuários, informações de pagamento, números CPF, entre outros dados sensíveis. Em uma pesquisa realizada pelo instituto norte-americano Osteman Research, no ano passado, ao menos 40% das empresas relataram que mais da metade de seus aplicativos estão expostos à Internet ou a serviços de terceiros por meio de APIs.

Além disso, cerca de 55% das organizações experimentam um ataque DdoS contra suas APIs pelo menos mensalmente, e 42% experimentam uma manipulação de elemento/atributo uma vez ao mês. Observe que, neste contexto, as empresas pesquisadas perceberam o ataque – agora imagine os casos nos quais os sistemas empresariais não detectaram tipos de ataques mais sutis – que simulam tentativas de acessos reais, com dados capturados das próprias APIs.

Bots também são um problema

O gerenciamento de bots também é um problema potencial porque as empresas não estão preparadas para gerenciar esse tipo de tráfego. A mesma pesquisa apontou que apenas 24% das organizações contam com soluções que ajudam a distinguir entre um usuário real e um bot. E se você considera que um WAF [firewall para aplicativos web, em tradução livre] pode ser uma saída para proteger suas APIs, infelizmente no contexto dos ataques lógicos das APIs, essas tecnologias têm pouco ou nenhum impacto.

Outro ponto de vulnerabilidade são os aplicativos para celular. A pesquisa realizada apontou que apenas 36% dos aplicativos para mobile têm algum tipo de segurança integrada – sendo que outros 22% não conta com qualquer tipo de segurança.

A questão mais alarmante é que, mesmo com todos os dados envolvendo as APIs – e os ataques que já estão acontecendo – a segurança não é a prioridade nas empresas que trabalham com um alto volume de dados e tráfego via APIs. A pesquisa realizada pelo Osteman Research apontou que em ao menos 90% das empresas a equipe de Segurança da Informação não é a principal influenciadora no processo de compra quando se trata do desenvolvimento de aplicativos. Cerca de 43% das empresas pesquisadas disseram que a segurança não deve interromper o lançamento nem a operacionalização de nenhum aplicativo. Isso cria uma situação em que os próprios responsáveis ​​pela segurança têm pouco controle sobre como os aplicativos são desenvolvidos.

Os ataques já estão acontecendo – e os times de TI sofrem para conter as ameaças que chegam via APIs. A saída são as tecnologias que usam Inteligência Artificial, mecanismos de bigdata e análise por contexto. São soluções novas, algumas ainda com um custo pouco atrativo, principalmente frente ao dólar – mas hoje, são a única saída para esse problema que já tem tirado, literalmente, o sono de muitos gestores brasileiros.

*Alvaro Almeida, cofundador da Evolutia