Segurança de API sob escrutínio federal: um alerta para CIOs

Em um incidente, um provedor global de domínio e hospedagem sofreu uma violação na qual invasores exploraram fragilidades na arquitetura de API do provedor para extrair informações de contas de clientes. A investigação revelou falhas nos controles de autenticação e ausência de monitoramento específico de APIs.

De forma semelhante, uma grande empresa de telecomunicações expôs dados confidenciais de usuários devido a pontos de extremidade de API desprotegidos. O problema resultou de validação insuficiente de entrada e restrições de acesso inadequadas, uma falha que atraiu a atenção de agências regulatórias federais.

Em ambos os casos, essas organizações haviam investido em defesas tradicionais, mas falharam em aplicar o mesmo rigor às APIs, que atuam como componente crítico dos serviços digitais modernos.

Um requisito fundamental em praticamente todas as estruturas de conformidade é manter um entendimento claro dos ativos que você possui e do tipo de dados que eles processam. Com APIs sendo desenvolvidas e atualizadas constantemente, muitas vezes por diferentes equipes ou terceiros, a maioria das organizações carece de um inventário de APIs completo e em tempo real. 

As organizações devem ser capazes de demonstrar o conhecimento sobre as APIs presentes em seu ambiente, como cada uma delas é usada e, mais importante ainda, identificar aquelas que estão operando fora de sua visibilidade ou processos.

Mesmo que as APIs sejam identificadas, nem sempre fica claro quais dados fluem por elas ou se elas estão devidamente protegidas. Muitas organizações não conseguem determinar a responsabilidade pelas APIs, nem confirmar se o tráfego está passando por controles aprovados como firewalls de aplicações web (WAFs) ou gateways de API. 

De acordo com nosso Estudo sobre o impacto da segurança de APIs de 2024, apenas 27% dos profissionais de segurança de TI com inventários completos de API realmente sabem quais de suas APIs retornam dados confidenciais, uma queda em relação aos 40% registrados em 2023. 

Além disso, muitas vezes há uma desconexão entre as funções: embora 43% dos CIOs pesquisados acreditem saber quais APIs retornam dados confidenciais, apenas 17% dos CISOs concordam com essa visão. Essas lacunas de visibilidade podem levar a sérias violações de conformidade se dados confidenciais, como informações de cartão de crédito, dados de identificação pessoal ou registros relacionados à saúde, forem expostos.

Conformidade não é apenas sobre conhecer seus ativos. É sobre garantir que o uso indevido seja detectado e resolvido em tempo real. As equipes de segurança precisam ser capazes de determinar se alguém estava explorando uma API para extrair dados de clientes ou obter privilégios elevados.

Por exemplo, as empresas geralmente não conseguem detectar abusos sutis de lógica de negócios ou impedir ameaças como a Autorização Interrompida em Nível de Objeto dos Riscos de segurança de API da OWASP Top 10. Esses padrões de ataque estão se tornando mais frequentes e muitas vezes escapam às ferramentas de perímetro tradicionais.

Muitas organizações confiam apenas em testes funcionais e negligenciam a importância de testes de segurança. As estruturas de conformidade estão exigindo cada vez mais que a segurança seja incorporada desde o início, tornando essencial testar APIs em busca de vulnerabilidades antes da implantação.

Devido a essas possíveis lacunas de segurança, os reguladores estão começando a tratar falhas de segurança em APIs como violações diretas das leis de proteção de dados, o que muitas vezes resulta em ações de execução, penalidades ou esforços de remediação obrigatórios. Os líderes de TI e segurança dos EUA (CIOs, CISOs e CTOs) que entrevistamos citaram um custo médio estimado de US$ 943.162 para os incidentes de segurança de APIs que enfrentaram nos últimos 12 meses.

Agora, espera-se que as empresas demonstrem não apenas segurança, mas também prontidão para conformidade em todo o ecossistema de APIs. Confira como a segurança de API se relaciona com várias normas comuns.

• PCI DSS v4.0: exige identificar e documentar todas as APIs relacionadas a pagamentos, protegendo-as com autenticação robusta, monitoramento contínuo e limitando o acesso a dados de portadores de cartão

• GDPR: determina minimização de dados, controle de acesso e notificação de violação de dados, todos os quais dependem da proteção das APIs que manipulam dados pessoais

• HIPAA: estabelece que as informações de saúde protegidas acessadas via APIs devem ser protegidas com criptografia, acesso baseado em funções e registros de auditoria

• DORA: exige testes de resiliência e detecção de incidentes em todos os canais digitais, incluindo APIs, que devem ser monitoradas quanto a anomalias e cenários de falha

Uma API desprotegida ou não documentada pode significar não conformidade, seja expondo dados de portadores de cartão, registros de saúde ou falhando em detectar anomalias em setores regulados.

Os CIOs que lideram iniciativas de infraestrutura digital e risco devem adotar uma abordagem deliberada e estruturada para a segurança de APIs. A primeira prioridade: deve-se estabelecer visibilidade total do ambiente de APIs. Sem um inventário em tempo real em ambientes de nuvem, locais e híbridos, é quase impossível proteger ou auditar o uso de APIs de forma eficaz.

Em seguida, a segurança deve ser incorporada desde o projeto. Isso inclui implementar autenticação robusta, validar todas as entradas e aplicar acesso de menor privilégio em cada API da organização. A capacidade de observação é igualmente essencial. Monitorar o tráfego de APIs em tempo real permite que as equipes detectem anomalias precocemente e respondam antes que os riscos se intensifiquem, o que é um requisito importante para muitas estruturas regulatórias.

Os esforços de segurança também devem ser mapeados diretamente para os requisitos de conformidade. Manter um alinhamento claro entre controles de API e estruturas como PCI DSS, GDPR, HIPAA e DORA permite que as organizações demonstrem progresso, documentem evidências e se preparem para auditorias com confiança.

Por fim, a resiliência deve ser testada continuamente. As APIs devem fazer parte da sua estratégia mais ampla de testes de segurança e planejamento de resiliência operacional, e não ser uma consideração secundária. Especialmente para organizações na União Europeia sob o DORA, a capacidade de simular ataques, avaliar cenários de falha e garantir continuidade está se tornando uma expectativa básica.

O API Security da Akamai ajuda as organizações a simplificar a conformidade e reduzir a exposição ao risco, fornecendo uma abordagem de ciclo de vida completo para a proteção de APIs. Ela dá suporte a requisitos-chave de conformidade com:

• Descoberta e inventário abrangentes: Descobre e classifica continuamente todas as APIs, incluindo APIs ocultas e zumbis, para manter a visibilidade e atender aos requisitos de documentação em estruturas como PCI DSS e GDPR

• Avaliação de risco e postura: mapeia descobertas para principais estruturas de conformidade (por exemplo, PCI DSS, ISO 27001, GDPR, HIPAA) para identificar configurações incorretas ou vulnerabilidades que possam resultar em não conformidade

• Detecção de ameaças comportamentais: detecta anomalias comportamentais, abuso de lógica de negócios e exposição inadequada de dados que ferramentas tradicionais frequentemente não identificam, apoiando os objetivos de resiliência operacional do DORA

• Visibilidade centralizada com painel de conformidade: fornece uma visão centralizada de APIs conformes em comparação não conformes, acompanhando tendências de postura ao longo do tempo e simplificando a preparação para auditorias

• Integração perfeita com o ecossistema de segurança: integra-se com sistemas de gerenciamento de informações e eventos de segurança (SIEM), sistemas de tíquetes e ferramentas de fluxo de trabalho para ajudar a gerar evidências de conformidade e agilizar a resposta a incidentes

Incidentes relacionados a APIs não são mais considerados problemas técnicos isolados. Eles são falhas de conformidade com consequências regulatórias. À medida que o escrutínio federal se intensifica, os CIOs técnicos devem garantir que a segurança de APIs não seja apenas implementada, mas operacionalizada e auditável. Ao tratar as APIs como parte integral dos seus programas de segurança e conformidade, você não apenas reduz riscos, mas também ajuda a garantir resiliência de longo prazo contra regulamentações emergentes e ameaças.