Como garantir mais segurança às suas APIs

Relatórios recentes do mercado de tecnologia mostraram que as APIs têm sido alvo constante de ciberataques. Para garantir o mínimo de segurança ao seu ambiente e não se tornar uma estatística negativa, é preciso seguir uma série de ações. Fabricio Alves, arquiteto de soluções na Sensedia, explica o que fazer para minimizar os riscos de sofrer um ataque e destaca um conceito fundamental para as empresas: o Zero-trust network.

Se quiser conferir a entrevista no formato de áudio, é só dar o play!

Como evitar que a minha empresa entre para essas estatísticas negativas de ataques virtuais?

‍Fabricio: Primeiramente, é muito importante listar todos seus pontos de exposição. Não apenas exposições externas - quando seu parceiro ou cliente acessa sua API ou aplicação (esta também é um ponto de exposição) - mas também a parte de acessos internos. 

É de conhecimento do mercado e da área de segurança que a maioria dos crackers visam burlar a segurança eletrônica para obter vantagens pessoais ou prejudicar pessoas e empresas. Em geral, os crackers criam softwares maliciosos e exploram vulnerabilidades para benefício próprio.

Depois, é importante delegar a responsabilidade desse ponto de exposição para uma ferramenta profissional para gestão de acesso, que forneça uma governança adequada e que esteja nesse middleware de comunicação entre o seu consumidor e a sua solução de APIs ou de aplicação.

O que recomendamos fortemente é usar um API Management de mercado. Se você garante que tudo está passando pelo seu API Management, isso vai garantir o canal, a autenticação, a autorização e a criptografia - que tudo esteja seguindo conforme você definiu nas regras de segurança para exposição das suas informações. Isso, claro, se a ferramenta escolhida atenda todas essas capacidades, que são o mínimo. Depois, você começa a pensar nos cenários mais complexos.

Com todos os itens de exposição levantados e uma uma plataforma profissional de middleware, o que é preciso fazer em seguida?

Fabricio: Recomendo que sigam uma estratégia de Zero-trust network. Basicamente, você faz passar pela sua plataforma de API Management e bloqueia todos os acessos, por padrão. Depois, você libera os acessos para os consumidores que você reconhece, através de mecanismos de autenticação e autorização. Nesta fase, é preciso seguir uma estratégia reconhecida e segura de mercado, como PKCE, utilizado no ecossistema Open Finance, ou o simples e sempre seguro OAuth2. No caso da autorização, não existe melhor estratégia como o plano de acesso que mencionei na resposta da primeira pergunta.

E não é só você colocar a plataforma e dar permissão de acesso, é monitorar o que estão fazendo. Geralmente, plataformas de API Management mais capacitadas oferecem ferramentas de sniffer, que monitoram o que está sendo consumido. É muito importante que isso ocorra, para entender se realmente o consumo está acontecendo de forma saudável ou não, podendo, inclusive, incluir mecanismos de IA para auxiliá-lo.