De API para API: estratégias de segurança para as empresas


Publicado em 24 de maio de 2021, às 14:21
Consultor de produtos de Segurança da Informação da Vivo Empresas

A digitalização dos serviços e os novos hábitos do consumidor ocasionaram uma mudança radical nas empresas. Isso porque o aumento da presença no ambiente virtual implica em uma geração muito maior de dados.

E estes dados, sem dúvidas, estão no centro dos negócios, tanto pelo aspecto de geração de insights quanto de segurança. Sendo assim, protegê-los é fundamental.

Vivemos em uma nova era que fez as companhias se movimentarem para facilitar a troca e a fluidez dessas informações entre diferentes canais, parceiros e fornecedores.

Hoje, conectar todas essas pontas é algo essencial — uma tarefa constantemente viabilizada pelo uso de diferentes tecnologias. E uma delas é o que chamamos de Interfaces de Programação de Aplicação, as famosas APIs (sigla de Application Programming Interface), que são o tema central deste artigo.

Em suma, podemos defini-las como conjuntos de normas capazes de promover a comunicação entre diferentes plataformas (softwares e aplicações, por exemplo). Isso acontece a partir de diferentes padrões e protocolos pré-estabelecidos.

É como se um anfitrião explicasse com total clareza todas as regras de estadia para um convidado.

Porém, apesar de ser necessária, tal ferramenta deixa uma lacuna: devido à necessidade de visibilidade por parte dos usuários finais, a API pode ser algo que envolve riscos. Ou seja, por apresentar sua estrutura em detalhes, torna as empresas com presença no online mais vulneráveis a ataques cibernéticos.

Como atuam

Os designers de APIs tendem a se basear em dois formatos para a troca de dados entre seus servidores e desenvolvedores: SOAP e XML. O primeiro usa o segundo como caminho para que as comunicações sejam realizadas.

Já as APIs REST (ou RESTful) geralmente utilizam o Javascript (JSON), sobretudo por ser simples e de fácil leitura tanto por parte de humanos quanto de computadores. Tal característica as torna mais populares nos negócios.

Essa estrutura é baseada em métodos HTTP padrão para recuperar e manipular recursos. Por isso, algumas das principais vulnerabilidades de aplicações web também ocorrem nas APIs. Ou seja, ataques podem ser realizados com menor sofisticação, uma vez que todas costumam ser bem documentadas e abertas ao público.

Daí a importância de adotar recursos capazes de protegê-las.

Em todo caso, entretanto, digo que é fundamental entender uma máxima: as APIs são criadas para o uso de computadores, e não para os clientes.

Muitos desenvolvedores cometem o erro de presumir que, como ela está mascarada por trás de outro serviço, como dispositivos móveis e aplicativos, a segurança pode ser gerenciada pelos profissionais e relaxada no servidor.

Vulnerabilidade: a API não está a salvo

A primeira ameaça cibernética associada à API está relacionada à solicitação de serviço inicial entre um cliente e um servidor, ataque conhecido como Negação de Serviço (DOS) ou Negação de Serviço Distribuída (DDoS). Em ambos, várias solicitações são feitas simultaneamente para que haja uma sobrecarga no servidor, inutilizando-o.

Outro problema é o Man-in-the-Middle (MITM), quando um criminoso intercepta transações, revelando ou alterando informações confidenciais. Ou seja, toda a movimentação ocorre justamente no caminho entre a API e o seu ponto final.

Só há um meio para evitar esses e outros problemas: a cibersegurança. E trabalhá-la depende de um bom gerenciamento. Ou seja, do uso de recursos capazes de monitorar e identificar possíveis falhas antes que problemas maiores aconteçam.

Estamos falando aqui da construção de um ambiente confiável, permeado por políticas específicas de autorização e autenticação.

Como proteger na prática

O uso de Tokens, ou ‘chaves virtuais’, é uma estratégia simples para agregar mais segurança ao controle de acessos da companhia

Algumas características fundamentais para que isso aconteça são o uso de tokens voltados ao controle do acesso, a criptografia de dados e assinaturas, a varredura para a detecção de vulnerabilidades, a criação de cotas de API para o monitoramento do histórico de uso e a adoção de um gateway para controlar o tráfego.

Outros recursos possíveis, estes mais focados na gestão em si, são a chave de API, composta por uma sequência de caracteres que dá acesso ao ambiente; autenticação básica (formada por nome de usuário e sua respectiva senha); e o OpenID Connect (OIDC), camada de segurança que consegue filtrar a estrutura e também o tráfego dela.

Olha só a quantidade de recursos que podem ser utilizados para blindar essa estrutura. E cabe a todo gestor saber o que são, como podem contribuir para a empresa em geral e quais males são capazes de evitar.

Existem, inclusive, diferentes pesquisas, testes e estudos nesse sentido. A Akamai, por exemplo, criou novos fluxos de trabalho voltados à proteção de terminais de API baseados em JSON e XML.

A abordagem tem três camadas: um modelo de segurança positivo ao definir como a API deve ser consumida, um negativo ao proteger os endpoints e, por fim, a criação de relatórios específicos para garantir maior visibilidade da ação de usuários neste ambiente.

Tudo em prol da proteção deles, os dados, que estão por toda parte. Até mesmo por isso, entender a importância deles para o contexto da companhia é essencial para colher acertos sempre.

Consultor de produtos de Segurança da Informação da Vivo Empresas

Compartilhe este conteúdo!

Solicite um contato
campo obrigátório

Enviamos conteúdos do seu interesse para seu e-mail, cancele a qualquer momento.

Cadastro efetuado com sucesso!

Em breve você receberá os melhores conteúdos para ajudar a gerenciar, expandir ou inovar o seu negócio