APIs de open bankings e suas vulnerabilidades
No post passado falamos sobre como os ataques a APIs (Application Programming Interface) são a nova fronteira de ataques cibernéticos. Hoje vamos entender porque os apps e as plataformas financeiras são alvos prioritários nesse universo. E não, a questão não é só o dinheiro!
Na verdade, há quase uma década, a demanda e a expectativa dos clientes estão evoluindo rápido. As idas ao banco para fazer uma transação são cada vez mais raras. Ou seja, os clientes já se sentem mais à vontade com os serviços online e os dispositivos móveis para realizar transações. Por isso, os clientes exigem serviços integrados e a capacidade de controlar sua vida financeira da forma que bem entenderem!
Nesse contexto, as APIs são a propriedade intelectual que permite que as instituições financeiras inovarem. Dessa forma, elas oferecem serviços para os clientes e se conectam com o ecossistema de parceiros. Mas nem tudo são flores. Por natureza, as APIs de serviços financeiros expõem dados confidenciais, como detalhes da conta e
informações pessoais identificáveis. Com as práticas de desenvolvimento CI/CD (continuous integration/continuous delivery), as alterações são constantes devido à rápida inovação. Essas características trazem novos desafios para as equipes de segurança que precisam reavaliar as estratégias e as ferramentas utilizadas para proteger os serviços essenciais, os dados e os clientes.
Open banking não garante segurança de APIs
Apesar de ter surgido na Europa, onde é mais evoluído, hoje, o conceito de open banking está em praticamente cada canto do planeta e chama a atenção das instituições financeiras. O objetivo do open banking é permitir que o cliente tenha mais controle sobre seus dados financeiros e, em última análise, sua vida financeira. Ele estimula as instituições financeiras a se modernizar e também cria novas oportunidades para conquistar mais clientes, viabilizar novas fontes de receita e continuar competitivas por meio da inovação.
Infelizmente, não é porque o open banking seja um padrão que ele seja seguro. Embora ele defina o padrão de como as APIs devem ser estruturadas para viabilizar integrações e comunicações previsíveis, ele não apresenta nenhum padrão para atender aos requisitos de segurança das APIs. O foco da segurança dele concentra-se essencialmente em utilizar controles básicos como autenticação, autorização e criptografia para funções financeiras padrão específicas. O escopo geral do open banking não abrange rodo o potencial das APIs para as instituições financeiras, e os controles básicos não conseguem atender aos desafios de segurança que as APIs apresentam.
Como existe mais de uma maneira de implementar um serviço por meio de uma API e cada empresa adota uma abordagem diferente, os resultados são APIs exclusivas, com uma lógica de negócio específica para cada empresa. Assim, fica impossível padronizar como a autorização deve ser aplicada. Além disso, considerando que muitos serviços sob o guarda-chuva do open banking são uma combinação de várias APIs criadas e utilizadas, o resultado são APIs exclusivas, com lógica específica, conectando-se a outras APIs exclusivas com lógica específica. Essa combinação resulta em um efeito multiplicador com uma nova lógica e, em última análise, vulnerabilidades multiplicadas.
Salt Security: big data e IA a favor da segurança das APIs
A SALT é uma solução que combina Big Data e Inteligência Artificial para identificar potenciais ameaças por contexto, melhorando a sua postura de segurança em APIs. É primeira plataforma patenteada da indústria para evitar a próxima geração de ataques de API, usando proteção comportamental. Saiba mais no vídeo abaixo:
Mais sobre ataques a APIs
Próximos posts
- Objetivos e impacto dos ataques a APIs
- Conheça os maiores desafios para a proteção de APIs
- Por que os métodos tradicionais não protegem as APIs
- O que é necessário para proteger as APIs de serviços financeiros
- Proteção de APIs de serviços financeiros com a Salt