Os três pilares que os CISOs necessitam para sustentar a segurança das APIs

Em uma pesquisa global da Statista, 94,5% dos líderes de segurança citaram a garantia de suas iniciativas de transformação digital como a principal prioridade pós-pandemia. Os CISOs devem ser proativos com os processos de segurança para manter a transformação digital avançando e satisfazer os reguladores para evitar multas vultosas. Para isso, é necessário que eles se concentrem na segurança das APIs.

Quem detém a responsabilidade de controlar as questões relacionadas à segurança das informações em uma organização precisa agir com muito equilíbrio. Eles devem proteger o negócio em um cenário em constante mudança e repleto de ameaças, ao mesmo tempo em que permitem que o negócio alcance a velocidade necessária para ter sucesso junto ao mercado. Nenhum CISO pode se dar ao luxo de atrapalhar ou retardar programas vitais.

Muitas empresas, incluindo Parler, Experian, Facebook e Peloton, sofreram violações de APIs. Os ataques de APIs podem diminuir a confiança do cliente, causar perda de receita e prejudicar irremediavelmente a reputação de uma organização. Apesar de todos esses riscos, as APIs ainda permanecem mal protegidas hoje. De acordo com a última pesquisa da Salt Labs, mais de um terço das organizações não têm nenhuma estratégia de segurança da API.

As APIs foram construídas especificamente para serviços que compartilham dados críticos com seus clientes, parceiros e funcionários. Aplicativos móveis são executados em APIS. Pesquisas mostram que mais de 80% do tráfego da Internet são APIs. As empresas agora têm milhares de APIs e as estão alterando regularmente. Em seu Relatório State of the API de 2021, o Instituto de Pesquisa Postman detectou que mais da metade dos desenvolvedores implantam novas APIs para a produção uma vez por dia, uma vez por semana ou uma vez por mês.

Para proteger efetivamente esse cenário em rápida evolução, os CISOs necessitam de uma solução de API que possa fornecer três recursos:  visibilidade automática em todo o tráfego de API; análise contínua em tempo real de execução e aprendizado através da correção das falhas gerando uma segurança proativa.

Ter visibilidade de todas as APIs é fundamental para protegê-las. É preciso também saber quais APIs podem estar expondo dados confidenciais. A partir de um inventário preciso das APIs que podem ser atualizadas de forma fácil e instantânea, os CISOs podem eliminar pontos cegos. Sem isso, eles não podem entender sua exposição total aos negócios ou priorizar a gestão de riscos.

Outro ponto decisivo para uma segurança eficaz das APIs é a análise contínua e dinâmica em tempo real de execução. É preciso ver as APIs em ação para detectar falhas, pois as APIs não são apenas códigos que podem ser analisados na busca por falhas nas fases de desenvolvimento e teste. Ver padrões em tempo de execução, à medida que as APIs são utilizadas, permite um contexto maior para identificar atividades maliciosas.

O terceiro pilar de apoio reside no compartilhamento do aprendizado das vulnerabilidades encontradas nas APIs entre os times internos. Retornar as informações obtidas às equipes de P&D permite incrementar o processo de aprimoramento da segurança em todo o ciclo de criação da API, tornando-as mais resilientes aos ataques.

As soluções de segurança da API precisam da capacidade de processar grandes quantidades de dados ao longo de um longo tempo para desenvolver o contexto necessário para distinguir o tráfego de ataque do tráfego normal. Apenas big data em escala de nuvem, combinado com inteligência artificial e aprendizado de máquina, fornece a capacidade de rastrear milhões de usuários em paralelo ao longo de dias, semanas ou meses. Ao implementar um programa de segurança de API dedicado, os CISOs podem ajudar a organização a acelerar a inovação digital, construir uma cultura mais centrada na segurança e gerar o crescimento dos negócios.

*Daniela Costa, diretora para a América Latina da Salt Security