Como iniciar e perpetuar a segurança de suas integrações

Wendel Siota

APIs (application programming interface) são conjuntos de definições e protocolos para construção e integrações de aplicações de software. APIs ajudam organizações a economizarem tempo e recursos, simplificando ou eliminando completamente certas tarefas que, em algum ponto, poderiam comprometer ou engessar os negócios.

Com o emprego de APIs, negócios podem se concentrar na entrega de valor aos seus clientes, além de se diferenciar no mercado através de especializações em verticais específicas, criando novas e promissoras oportunidades de negócio.

Mas nem sempre é simples. APIs podem apresentar um grau extremamente elevado de complexidade e riscos graves de segurança. Segundo pesquisa da Cloudentity, no ano de 2021, 97% das organizações sofreram atrasos ao liberar novos aplicativos e serviços devido a preocupações de segurança de suas APIs. Desse montante, 44% afirmou que estas preocupações se deram em função da possibilidade de exposição de informações privadas.

Ainda citando números, o 2021 State of the API Report‘, produzido pela Postman, aponta a dimensão impressionante do crescimento das APIs no mercado. Alguns dos dados apontados pela pesquisa:

  • O número de APIs cresceu 39% em um ano
  • O número de requisições à APIs cresceu 56% em um ano

Muitas organizações estão em processo de mudança relacionado à segurança de suas APIs. Na pesquisa da Cloudentity, 93% dos entrevistados indicaram que planejavam aumentar seus orçamentos e recursos para segurança de APIs. Mais da metade (64%), reportou que seus orçamentos para segurança poderiam aumentar em até 15% daqui para frente.

Esses achados levantam uma questão importante. Para onde as organizações que buscam maximizar a segurança da API devem direcionar sua atenção? Abaixo estão quatro dicas para iniciar o processo de hardening de suas APIs, de maneira eficaz.

Adote uma Estratégia de Gerenciamento de APIs

Primeiro, as organizações precisam adotar uma estratégia de gerenciamento de API, da maneira mais proativa possível, fornecendo processos claros para design, implementação e gerenciamento de API que se alinhem aos requisitos do negócio. Como parte desta estratégia, as organizações devem documentar maneiras pelas quais as equipes de segurança podem identificar, priorizar e corrigir vulnerabilidades, envolvendo suas APIs – especialmente as 10 principais fraquezas de API identificadas pelo Open Web Application Security Project (OWASP). Todos os outros elementos de cybersegurança, relacionados às APIs, derivam dessa estratégia de gerenciamento, incluindo a gestão de ameaças e a gestão de vulnerabilidades.

Encontre Todas as suas APIs

Com uma estratégia de gerenciamento de APIs em vigor, as organizações podem descobrir todas as suas APIs, onde quer que residam. No entanto, é necessário ser estratégico sobre como abordar essa etapa. Por exemplo, a TI nem sempre sabe sobre todas as APIs em uso em toda a organização, portanto, confiar nos processos de descoberta manual, pode deixar pontos cegos críticos.

A documentação da API, embora seja uma prática recomendada, pode não ser feita de forma consistente. A descoberta automatizada de endpoints, parâmetros e tipos de dados da API é crucial.

Com isso em mente, as organizações precisam descobrir APIs em todos os seus ambientes, não apenas na produção; incluir dependências de API; e marcar/rotular suas APIs como uma prática recomendada de DevOps.

Aumente a conscientização sobre a segurança da API

O negócio não pode esperar que todos sigam as práticas de segurança das APIs, se sua força de trabalho não entender as ameaças envolvidas. Para remediar isso, treinamentos de conscientização de segurança para educar seus funcionários sobre ataques baseados em API e como eles ameaçam os negócios, produzem efeitos positivos significativos. Esses esforços ajudarão a levar a segurança ao longo das fases de design, construção e implantação do software. Treinamentos constantes de segurança complementam as iniciativas de DevSecOps, projetadas para promover a colaboração entre as equipes de desenvolvimento de aplicativos, segurança e operações.

Busque o estado de Zero-Trust

Finalmente, as organizações devem considerar zero-trust como seu objetivo. Um simples controle de acesso ou um controle de identidade já não é mais suficiente. Uma abordagem de confiança zero pode ajudar as equipes de segurança a autenticar continuamente o serviço, o solicitante e o cliente, minimizando assim as ameaças de ataques à API. As equipes também podem usar confiança zero para auditar essas solicitações e sinais de comprometimento. Zero-Trust pode gerar indicadores CIA (confidencialidade, disponibilidade e integridade) sobre os quais se pode agir para limitar o escopo de um incidente.

“Zero Trust é um modelo de segurança de rede que requer verificação e autenticação contínuas dos usuários que podem se conectar ao sistema ou aos serviços de sua organização. O conceito, proposto pelo analista da Forrester Research, John Kindervag, surgiu em 2010. Sua ideia básica é nunca confiar em quem está acessando a rede antes de fazer uma verificação de segurança. Assim, no modelo Zero Trust, nenhum usuário, dispositivo ou serviço é confiável antes de uma autenticação que confirme a identidade.”

É importante ressaltar que as quatro dicas compartilhadas não garantem a implementação completa de segurança para suas APIs, mas sim, funcionam como um primeiro passo extremamente adequado, e definitivamente no caminho correto, em direção a um processo de segurança maduro e adequado.

Como a EximiaCo pode lhe ajudar

A EximiaCo tem atuado ativamente tanto na construção e integração de APIs quanto na adequação de ambientes aos mais exigentes cenários de segurança apresentados por verticais extremamente visadas, em termos de segurança e proteção de dados. Integrações financeiras para OpenBanking e OpenInsurance, além de APIs para sistemas de saúde e medicina estão presentes em nosso leque de atuação.

As exigências altíssimas, em termos de segurança, proteção de privacidade e adequação a normas, nestes cenários, proporcionam à EximiaCo a expertise para elevar a confiança e a resiliência de suas aplicações a estes mesmos níveis de segurança, independente do seu mercado de atuação.

Conheça também nossa consultoria e assessoria em Gestão em Segurança da Informação que atua na adequação de seus processos para mantê-los de acordo às normas e leis vigentes para assim evitar falhas de segurança que possam gerar prejuízos para seu negócio.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Gestão em Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Arquitetura de Software

A Evolução da Arquitetura de Software para Produtos Digitais Escaláveis

Arquiteto de Software com experiência executiva em Tecnologia
Gestão em Segurança da Informação

Aplicando Resiliência Proativa com times de ProdSec para Produtos Digitais

Especialista em Segurança da Informação
Planejamento Estratégico

O Papel do Planejamento Estratégico na Criação de Experiências Inovadoras em Produtos Digitais

Consultor em estratégias de inovação, sucesso do cliente e desenvolvimento de novos produtos

Acesse nossos canais

Simplificamos, potencializamos e aceleramos resultados usando a tecnologia do jeito certo

EximiaCo 2023 – Todos os direitos reservados

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Como iniciar e perpetuar a segurança de suas integrações

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Como iniciar e perpetuar a segurança de suas integrações

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?