Você sabia que vulnerabilidades em APIs podem causar o vazamento de dados sensíveis?
Hackers têm explorado Interfaces de Programação de Aplicações (APIs) como vetor de ataque para obter acesso aos sistemas e exfiltrar dados confidenciais. Em 2022, organizações americanas registraram US$ 23 bilhões em perdas decorrentes deste incidente.
As APIs (Interface de Programação de Aplicações, em português) são um conjunto de regras e protocolos que permite a comunicação de diferentes softwares entre si. Por meio dela são definidos os métodos de interação, formatos de dados e autenticação necessários para acessar e utilizar os recursos fornecidos por um serviço específico.
Devido a essa competência, os agentes mal-intencionados visam explorar as APIs, uma vez que elas representam os pontos de acesso a sistemas e dados sensíveis.
Exploração de APIs é um processo de investigação e análise das funcionalidades e dados disponíveis em uma API.
Tanto é que, em 2022, 76% dos profissionais de segurança cibernética dos Estados Unidos e Reino Unido admitiram ter sofrido um incidente relacionado à segurança das APIs de suas companhias. E o mesmo relatório mostra que as empresas americanas perderam, no mesmo período, o equivalente a US$ 23 bilhões devido aos incidentes desse tipo.
Mesmo com os altos números registrados, uma grande parcela das organizações ainda está no estágio inicial quando se trata do entendimento de como as APIs podem estar sendo alvos cibercriminosos e escoando dados sensíveis destes negócios.
Qual é a relação entre APIs e o vazamento de dados sensíveis
Um vazamento de dados por APIs ocorre quando informações confidenciais ou sensíveis são expostas indevidamente devido às falhas na segurança ou na implementação dessas interfaces. As causas mais comuns registradas são:
• Autenticação inadequada: caso a API não tenha uma autenticação robusta, o acesso não autorizado pode ser permitido aos dados confidenciais. Isso é passível de acontecer quando as credenciais de autenticação, como chaves de API ou tokens, são compartilhadas ou armazenadas de maneira insegura.
• Autorização insuficiente: permissões de acesso que não são configuradas corretamente podem fazer com que um agente mal-intencionado obtenha acesso a dados para além do que é necessário ou permitido.
• Falhas de segurança na implementação: falhas de segurança nas APIs, como vulnerabilidades de injeção de código (SQL injection ou cross-site scripting, por exemplo), são um artificio pelo qual um invasor pode explorá-las para acessar ou manipular dados sensíveis.
• Erros de programação: quando a API não é bem programada (leia o conteúdo sobre DevSecOps no BlogSW), usuários não autorizados podem chegar às informações não permitidas, da mesma forma que o invasor pode explorar essas brechas para obter o mesmo acesso.
• Monitoramento e registro inadequados: se não forem implementados mecanismos adequados de monitoramento e registro, a detecção dos vazamentos de dados em tempo hábil pode ser inviabilizada, o que leva a uma exposição prolongada de informações confidenciais.
Atuação dos times de TI e segurança
Para mitigar vazamentos de dados sensíveis por APIs, é importante seguir práticas de segurança recomendadas por especialistas, como a proteção de dados para além das APIs e o cumprimento das normas de conformidade. Confira sobre cada um a seguir:
1. Proteção de dados para além das APIs
À medida em que se dá a mesma atenção à segurança de rede, do perímetro e de aplicativos, os times de TI e segurança devem ter as APIs em seu radar.
Para tal, as ações iniciais neste quesito são realizar um inventário das Interfaces de Programação de Aplicações e estabelecer a visão do tráfego de informações confidenciais, de forma que os especialistas saibam como lidar adequadamente com possíveis vulnerabilidades e vazamentos de dados sensíveis.
Os controles também são essenciais para evitar que qualquer tipo de dado seja vazado. Assim, as organizações devem adotar medidas adicionais para proteger os sistemas contra acesso não autorizado.
Além do investimento nas medidas de segurança mais recentes e na conscientização dos funcionários sobre a importância de proteger as informações sensíveis, ainda mais porque as APIs nos dias atuais são responsáveis por interagir com todos os sistemas, softwares e dados de uma organização.
2. Cumprimento das normas de conformidade
É importante ter em mente que as APIs desempenham um papel fundamental. Afinal, elas são o ponto de conexão entre os aplicativos e dispositivos de uma empresa. Ou seja, os dados sensíveis da organização estão passando por elas.
E, quando se considera a quantidade crescente de informações que estão sendo coletadas e armazenadas, atender as normas de conformidade é igualmente fundamental para proteger os dados sensíveis. Isso se dá porque as regras de compliance englobam uma ampla gama de tópicos, as quais incluem políticas de privacidade, medidas de segurança e direitos do cliente.
A adesão aos regulamentos auxilia na proteção da privacidade dos clientes, evitando violações de dados e garantindo que os dados coletados estejam seguros e protegidos contra acesso não autorizado ou uso indevido. Isso significa que identificar onde os dados residem, para onde são transferidos e de onde são acessados é fundamental no processo de conformidade.
Tendo em vista que estes dois tópicos integram o plano de segurança e infraestrutura da organização com foco nas APIs, também é importante ter em mente que as soluções de segurança de aplicativos têm sido fundamentais nas pilhas de segurança cibernética, porém, com as APIs o processo funciona de forma diferente, uma vez que elas apresentam desafios de segurança exclusivos.
Para que elas não vazem dados sensíveis, os especialistas devem ter consciência da postura de segurança da corporação. Por isso, contar com o suporte especialista de profissionais capacitados e treinados auxilia na classificação e organização de todas as informações da empresa. Ademais, combinar a estratégia com ações e ferramentas específicas complementam as ações técnicas ao mesmo tempo em que garantem o cumprimento de normas e regulações vigentes.