Para o cibercrime todo dia é Black Friday ou Cyber Monday

“É um cenário previsível, uma vez que cada vez mais as APIs são empregadas para facilitar as operações de comércio eletrônico, conectando aplicativos móveis, sites e sistemas de back-end para permitir melhores experiências de compra”, destaca Daniela Costa, diretora para a América Latina e Canadá da Salt Security, lembrando que os varejistas formam um grupo de alto risco pois dependem muito de APIs para lidar com ações sensíveis como a autenticação do usuário, gerenciamento de estoques, processamento de pagamentos e integração com serviços de terceiros, como ferramentas de logística ou marketing.

Buscando se posicionar à frente dos concorrentes, as empresas de comércio online apostam na agilidade para colocar suas ofertas o quanto antes para os consumidores. Embora a velocidade de entrada no mercado seja essencial, deixar de priorizar a segurança pode levar a violações devastadoras. “Os cibercriminosos estão bem cientes das vulnerabilidades criadas por essa corrida. APIs sem autenticação adequada ou mecanismos de limitação de taxa podem ser alvo de invasões de contas, roubo de dados ou ataques de negação de serviço”, alerta Daniela Costa.

A executiva identifica quatro armadilhas comuns quando se pensa em segurança de APIs:

- Erros de desenvolvimento: práticas de codificação inseguras, como codificação de credenciais confidenciais ou falha na limpeza de entradas, podem deixar as APIs vulneráveis a ataques como injeção de SQL ou cross-site scripting.
- Projetos de arquitetura inadequados: APIs mal projetadas podem expor endpoints desnecessários ou não implementar o princípio de privilégios mínimos, aumentando a superfície de ataque.
- Configurações incorretas: controles de acesso, configurações de criptografia ou mecanismos de registro mal configurados podem inadvertidamente abrir a porta para usuários não autorizados ou dificultar a detecção de atividades maliciosas.
- Falta de proteções de tempo de execução: APIs implantadas em produção sem mecanismos de defesa adequados, como firewalls ou sistemas de detecção de anomalias, são alvos fáceis para invasores oportunistas.

Um programa de governança de postura de API bem elaborado é fundamental para garantir a segurança sem sacrificar a agilidade. Ele deve alinhar desenvolvedores, arquitetos e equipes de DevSecOps com conformidade regulatória, práticas recomendadas e padrões corporativos em todo o ciclo de vida do aplicativo.

Após reconhecer que muitas organizações infelizmente ainda carecem dessa maturidade em suas estratégias de segurança, a executiva afirmou ser fundamental entender que é possível incorporar camadas de segurança sem comprometer a inovação, o que pode ser feito através de uma abordagem proativa que deve incluir:

- Teste de segurança automatizado: a integração de ferramentas para verificação de vulnerabilidades de API e pentests em pipelines de CI/CD garantem que os problemas de segurança sejam identificados e resolvidos antecipadamente.
- Monitoramento contínuo: o monitoramento em tempo real do tráfego de API pode ajudar a detectar e mitigar ameaças antes que elas aumentem.
- Educação e colaboração: Garantir que todas as partes interessadas, de desenvolvedores a executivos, entendam a importância da segurança da API promove uma cultura de responsabilidade compartilhada.

“Uma certeza que podemos ter é a de que os cibercriminosos já estão colocando na mira os lucros gerados pelas vendas das festas de fim de ano e se preparando para atacar durante todos os dias de 2025”, resume Daniela Costa.

Sobre a Salt Security

Como pioneira no mercado de segurança de APIs, a Salt Security protege as APIs que formam o núcleo de cada aplicativo moderno. Protegendo algumas das maiores empresas do mundo, a Plataforma de Segurança de APIs da Salt é a única solução de segurança que combina o poder de big data em escala de nuvem e ML/IA testado ao longo do tempo para detectar e prevenir ataques. Com sua abordagem patenteada para bloquear os atuais ataques lentos e low profile às APIs, somente a Salt fornece a inteligência adaptativa necessária para proteção. O mecanismo de governança de postura da Salt também oferece governança de API operacionalizada e detecção em escala de ameaças nas organizações. Ao contrário de outras soluções de governança de API, o mecanismo de tempo de execução baseado em IA da Salt Security utiliza o maior data lake para treinar continuamente o mecanismo. A Salt apoia as organizações em toda a jornada da API, desde a descoberta até a governança de postura e proteção contra ameaças. Implementada de forma rápida e perfeitamente integrada aos sistemas existentes, a Plataforma Salt oferece aos clientes valor e proteção imediatos, para que possam inovar com confiança e acelerar as suas iniciativas de transformação digital.