Atendimento WhatsApp
Como proteger as APIS de serviços financeiros

Como proteger as APIS de serviços financeiros

No mercado altamente competitivo de hoje, as instituições financeiras precisam agir rápido. Para isso, a segurança não pode impedir a inovação. A segurança pode e deve permitir que os desenvolvedores trabalham com a rapidez que as empresas exigem. As APIs exigem uma nova abordagem de segurança com soluções dedicadas que aproveitam a arquitetura e vão além das ferramentas tradicionais, que se limitam a enxergar cada transação isoladamente. Tudo isso para proteger as APIS de serviços financeiros.

Em uma pesquisa recente, a Gartner reconheceu a necessidade de soluções dedicadas, colocando a segurança das APIs em uma camada de destaque na sua arquitetura de referência de segurança atualizada. Essa nova camada fica entre as ferramentas tradicionais, como WAFs, WAAPs, gateways de API e CDNs, que protegem a borda, e as ferramentas que protegem os dados e o plano de controle.

Nessa nova arquitetura, a Gartner afirma que as ferramentas tradicionais deixam falhas e não são suficientes para proteger as APIs

Quais os caminhos para proteger as APIs?

A segurança da API exige uma arquitetura nova baseada em big data capaz de capturar todo o tráfego da API e Inteligência artificial (IA) com aprendizado de máquina (ML) para analisar continuamente o grande volume de tráfego das APIs. A análise contínua do tráfego da API é a única forma para que uma solução consiga entender o comportamento normal de cada API específica e obtenha o contexto necessário para identificar pequenos desvios e invasores.

As APIs também precisam de segurança em cada etapa do ciclo de vida, o que é outra limitação das ferramentas tradicionais. Com uma arquitetura de big data, AI, ML e análise contínua do tráfego da API, a solução consegue oferecer benefícios em todo o ciclo de vida da API.

Entre esses benefícios, temos a visualização atual da superfície de ataque, a detecção antecipada de um ataque e informações que possibilitam aprimorar continuamente a segurança.

Recursos essenciais para a segurança de APIs

A seguir, apresentamos os recursos essenciais para uma solução de segurança de APIs:

Descoberta de APIs

Uma visão precisa da superfície de ataque é essencial para embasar sua estratégia de segurança, mas pode ser um desafio com as APIs em constante mudança. Considere criar uma equipe de desenvolvimento ágil encarregada de liberar uma API nona de registro de clientes. Focada nos prazos, a equipe dribla os processos de aprovações oficiais e a API não pé incluída no processo de gerenciamento de APIs da empresa, nem fica visível para a equipe de segurança.

A solução precisa descobrir todas as APIs, inclusive as APIs sombra desconhecidas, como no exemplo acima, e zumbis, que devem ser descontinuadas. A descoberta deve ser automática e contínua para acompanhar a liberação constante de APIs novas e atualizadas e inclur todas as APIs voltadas paras os clientes e parceiros, fornecidas e consumidas, e as internas.

Saber que uma API existe não é suficiente. É muito importante entender os detalhes de cada uma para compreender a funcionalidade pretendida, avaliar os riscos e determinar se ela expõe dados confidenciais, como informações pessoais identificáveis (PII). A descoberta automática e contínua ajuda a garantir uma visão sempre atualizada da superfície de ataque e do nível de exposição dos dados confidenciais.

Interrupção dos ataques às APIs

Os invasores cujo alvo são as APIs usam métodos distintos para detectar e explorar vulnerabilidades. Fique atento aos golpistas que tentam redirecionar transferências ACH para contas de clientes não autorizados. Eles poderiam explorar uma vulnerabilidade comum às APIs e manipular os números do encaminhamento mudando apenas alguns parâmetros da API.

Uma solução com uma arquitetura que combina big data, IA e ML consegue capturar todo o tráfego da API e criar uma base de referência de atividades normais e, assim, detectar desvios. No caso acima, a solução identificaria a manipulação discreta do número de encaminhamento e sinalizaria a atividade.

Mas não basta identificar os desvios. É preciso associar a atividade para reduzir o número de falsos positivos, separando os desvios inofensivos que podem acontecer como resultado de mudanças na API dos desvios que fazem parte da atividade de reconhecimento dos golpistas.

Durante o processo de reconhecimento, os golpistas sondam a API para entender sua estrutura e detectar a vulnerabilidade do exemplo acima. Essa atividade cria vários desvios da base de referência, associando esses desvios, a solução consegue criar um perfil dos golpistas e avaliar o risco da atividade.

Ao contrário das ferramentas tradicionais que só conseguem identificar o tráfego malicioso conhecido, uma solução que inclua contexto e associações consegue detectar atividade suspeita dos golpistas e interromper o processo antes que o ataque seja bem sucedido.

Eliminação de falhas

As equipes de DevOps exercem um papel fundamental na segurança. Porém todo software tem falhas apesar de as equipes adotarem práticas recomendadas ed desenvolvimento e usarem ferramentas de verificação. Com as APIs não é diferente. Sem sombra de dúvida, as APIs de serviços financeiros são bem mais sujeitas a falhas porque adotam políticas de desenvolvimento ágeis, que têm novas versões com muita frequência. Isso significa que as equipes de desenvolvimento podem comprometer a segurança para cumprir os prazos de entrega apertados.

A proteção no tempo de execução é fundamental para evitar a exploração de qualquer vulnerabilidade que chegue à produção. Mas contar só com essa proteção é muito pouco. As equipes de desenvolvimento precisam identificar e eliminar continuamente as falhas para melhorar a segurança da API.

No exemplo acima, a solução de tempo de execução da API impede os golpistas de aprende suas atuvidades enquanto eles sondam e manipulam a API. Todas essas iniciativas fornecem informações sobre as vulnerabilidades específicas da API e são úteis para ajudar as equipes de desenvolvimento a priorizar cada uma delas e eliminar todas rapidamente.

Por fim, além dos insights sobre tempo de execução, a solução de segurança precisa avaliar as APIs para detectar as falhas antes que sejam descobertas por um invasor, para eliminar logos as possíveis vulnerabilidades e, ao mesmo tempo, refinar as práticas recomendadas de segurança das APIs.

Salt Security: big data e IA a favor da segurança das APIs

A SALT é uma solução que combina Big Data e Inteligência Artificial para identificar potenciais ameaças por contexto, melhorando a sua postura de segurança em APIs. É primeira plataforma patenteada da indústria para evitar a próxima geração de ataques de API, usando proteção comportamental. Saiba mais no vídeo abaixo:

Mais sobre ataques a APIs

Próximo post da série

  • Proteção de APIs de serviços financeiros com a Salt