Últimas notícias

Fique informado

Os cinco perigosos mitos relacionados à segurança de APIs

20 de maio de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Techfin Moeda Semente anuncia presença no metaverso

Moeda Semente, primeira techfin a usar blockchain para o mundo alcancem o desenvolvimento sustentável, está investindo no metaverso

7 de março de 2022

Por que investir em segurança da informação e qual o seu retorno financeiro?

O principal ponto para decidir investir na segurança da informação nas empresas é para fortalecer a segurança dos dados

7 de março de 2022

Cidadão passa a ter acesso no GOV.BR a consulta e transferência dos valores ‘esquecidos’ em bancos

Nesta segunda-feira (7), serviço do Banco Central está disponível para usuários com contas nos níveis Prata e Ouro no GOV.BR

7 de março de 2022

LGPD: não basta ter, é preciso executar

Estar em conformidade com a LGPD é relevante para o contexto geral de mercado, como o ambiente de negócios ao qual a empresa está inserida

7 de março de 2022

Como a Inteligência Artificial e os Data Centers neutros apoiam a evolução dos negócios

O avanço da tecnologia vem estimulando cada vez mais o investimento em métodos inovadores e disruptivos para os negócios

7 de março de 2022

É importante conhecer um pouco mais sobre a perigosas “verdades” relacionadas à segurança de APIs, que podem pôr em risco uma empresa

Por Daniela Costa

Daniela Costa, Diretora para a América Latina da Salt Security

Para os CISOs é imperativo estar sintonizado com os mais recentes avanços tecnológicos na área de proteção de dados, para evitar colocar não só seus cargos, mas a própria organização, em risco. Com o crescimento do emprego das APIs, a superfície de ataque se expandiu – assim como o volume de tráfego malicioso.

De acordo com o último relatório do Salt Labs State of API Security, 95% das organizações sofreram um incidente de segurança da API nos últimos 12 meses. Além disso, várias empresas foram vítimas de incidentes públicos de API nos últimos anos, incluindo Facebook, Experian, Starbucks e Peloton. Claramente, a atual safra de técnicas de segurança de aplicativos não é mais suficiente para proteger as APIs de violações.

Neste cenário ameaçador, é importante conhecer um pouco mais sobre as cinco perigosas “verdades” relacionadas à segurança de APIs, que podem pôr em risco o futuro de uma empresa.

A arquitetura de “confiança zero” protege totalmente as APIs

O objetivo da confiança zero é restringir o acesso e impor princípios de menor privilégio, mas o acesso é fundamental para o funcionamento das APIs.  Outro ponto importante: ainda que muitas ofertas de acesso usem a tecnologia de multifator para autenticar antes de permitir o acesso das APIs, esta tecnologia não impede ataques focados na lógica das APIs. Vale lembrar que 94% das explorações ocorrem em APIs autenticadas.

As ofertas de segurança dos provedores de serviços em nuvem protegem minhas APIs

Embora alguns provedores de nuvem ofereçam ferramentas como gerenciamento de API e gateways de API, esses produtos não fornecem o nível de proteção que as empresas precisam. Recursos limitados de segurança de API na camada de aplicativo e na própria API fazem com que elas fiquem desprotegidas quando dependem apenas das ferramentas do provedor de nuvem. 

Como as APIs são a parte lógica dos aplicativos, os clientes em nuvem detêm a responsabilidade final de protegê-las dentro do modelo de responsabilidade compartilhada pela segurança.

WAFs e gateways de API fornecem uma proteção adequada

Os WAFs e os gateways de API não foram projetados para fornecer a visibilidade e os controles de segurança necessários para proteger as APIs. Eles são simplesmente incapazes de detectar certos comportamentos maliciosos.

É, por exemplo, o caso quando os atacantes contornam controles de acesso ou coletam chaves e tokens. Eles também não podem identificar muitos dos problemas específicos da API, como abuso de lógica empresarial e explorações de autorização.

A proteção da carga de trabalho também pode proteger as APIs

As soluções de segurança de carga de trabalho ajudam a fornecer segurança de infraestrutura para garantir que não sejam executadas em uma versão de software vulnerável. Elas também podem bloquear o acesso de usuários externos. O problema é que elas não fornecem proteção de APIs ou análise de contexto de nível de aplicativo.

A segurança está presente desde quando os desenvolvedores constroem as APIs

A realidade é que, embora a segurança seja uma preocupação constante durante todo o ciclo de criação de uma API, as ferramentas de teste do desenvolvedor, ainda que muito valiosas, não podem identificar todas as vulnerabilidades.

Há diversos problemas de segurança que não podem ser detectados, como parte de projeto automatizado, desenvolvimento e compilação, com ferramentas comuns de análise de segurança e testes. As APIs precisam ser executadas para que as falhas lógicas sejam detectadas.

Em resumo, as iniciativas internas de digitalização, os aplicativos móveis e os serviços baseados na Web contribuem para o aumento do uso de APIs.

Hoje, no novo cenário onde dezenas ou centenas de APIs estão sendo rapidamente construídas, não funcionam mais as técnicas com as quais as empresas as protegiam no passado. Esta realidade ressalta a importância de se complementar a estratégia de segurança com tecnologia baseada em aprendizagem de máquina e inteligência artificial.

Sobre a Salt Security

A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel. Para mais informações, visite https://salt.security.

API de certificado digital na nuvem: como funciona e quais as vantagens

Vulnerabilidade descoberta pela Salt Security em FinTech nos EUA sublinha a importância da segurança de APIs

Pesquisa mapeia o avanço do Edge Computing e das APIs nas operadoras de Telecom do Brasil e do mundo

Cadastre-se para receber o IDNews

E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!