X

Precisa de computação em nuvem? Comece agora mesmo

Logotipo da Akamai
+1-8774252624
+1-8774252624
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem
Experimente a Akamai
Você está sob ataque?
Login
Control Center
Acesse a plataforma Akamai
Cloud Manager
Gerencie seus recursos de nuvem

Ataques cibernéticos a APIs: uma ameaça crescente para organizações na América Latina

Helder Ferrão, responsable du marketing sectoriel

escrito por

Helder Ferrão

April 12, 2024

Helder Ferrão, responsable du marketing sectoriel

escrito por

Helder Ferrão

Helder Ferrão trabalha no mercado de tecnologia há mais de 35 anos, ocupando posições executivas em diferentes empresas de serviços de tecnologia e negócios. Atualmente, ele atua como Gerente de estratégia do setor para a América Latina na Akamai Technologies, analisando o desenvolvimento tecnológico e a transformação digital de vários mercados e como a Akamai pode contribuir para seus clientes nessa evolução.

Seguindo essas práticas recomendadas para o uso seguro de APIs, as organizações na América Latina podem ajudar a construir um futuro digital próspero para setores em toda a região.
Seguindo essas práticas recomendadas para o uso seguro de APIs, as organizações na América Latina podem ajudar a construir um futuro digital próspero para setores em toda a região.

Resumo executivo 

  • Os hackers podem explorar vulnerabilidades em APIs para obter acesso não autorizado a dados confidenciais e interromper serviços. O relatório dos 10 principais riscos de segurança de APIs do OWASP explora os riscos mais comuns associados às APIs.

  • Em todo o mundo, setores como bancos, saúde, energia e comércio eletrônico são particularmente vulneráveis a ataques cibernéticos a APIs, pois eles dependem muito de sistemas interconectados para fornecer seus serviços. 

  • À medida que mais organizações na região da América Latina (LATAM) adotam a evolução digital e desenvolvem aplicações orientadas por API, a superfície de ataque para vulnerabilidades de APIs se expande.

  • As organizações podem reduzir os riscos associados a vulnerabilidades de APIs implementando controles de acesso e ferramentas de monitoramento fortes para detectar atividades suspeitas. 

  • É fundamental que as empresas priorizem as medidas de cibersegurança e implementem soluções de segurança de APIs fortes para proteger seus sistemas e dados contra possíveis violações.

Saiba mais sobre as práticas recomendadas

Introdução 

As interfaces de programação de aplicações (APIs) se tornaram componentes essenciais no desenvolvimento de software moderno, permitindo que diferentes aplicações se comuniquem e interajam umas com as outras. No entanto, com o aumento do uso de APIs, os ataques cibernéticos direcionados a essas interfaces também aumentaram.

A proliferação de APIs serve como uma faca de dois gumes para as organizações. Embora as APIs otimizem a comunicação e promovam a inovação por meio da integração de terceiros, elas também expõem as empresas a um risco maior de ciberameaças. 

Os ataques cibernéticos direcionados a APIs tiveram um grande aumento, explorando vulnerabilidades para comprometer dados confidenciais e interromper serviços críticos. Para fortalecer defesas, as organizações devem adotar controles de acesso rigorosos e mecanismos de monitoramento vigilantes para impedir atividades mal-intencionadas. 

Nesta publicação do blog, vamos nos aprofundar na ameaça generalizada de ataques cibernéticos a APIs e seu profundo impacto nos setores da América Latina. Também descreveremos estratégias proativas para fortalecer as defesas contra essas ameaças em evolução, capacitando as organizações a proteger seus ativos digitais e a manter a resiliência operacional em um cenário interconectado.

Como os ataques a APIs afetam as organizações?

De perdas financeiras a danos à reputação, os ataques cibernéticos podem afetar as organizações de várias maneiras, incluindo:

  • Violações de dados

  • Interrupção de serviços

  • Perda financeira

  • Danos à reputação

Violações de dados

Um objetivo comum dos ataques a APIs na Web é obter acesso não autorizado a dados confidenciais, incluindo informações do cliente, dados financeiros e propriedade intelectual. Violações de dados podem resultar em repercussões legais, desgaste da confiança e penalidades financeiras. 

Por exemplo, um ataque cibernético a uma instituição financeira pode comprometer as informações de contas de clientes, resultando em roubo de identidade e fraude financeira. Isso não só poderia prejudicar a reputação da instituição, mas também levar a processos judiciais e multas pesadas impostas pelas autoridades reguladoras. Além disso, se a propriedade intelectual for roubada por meio de um ataque a API da Web em uma empresa de tecnologia, isso pode resultar em perda de vantagem competitiva e de receita, pois os concorrentes usam as informações roubadas para desenvolver produtos ou serviços semelhantes.

Interrupção de serviços

Os ataques cibernéticos a APIs na Web podem levar a interrupções ou tempo de inatividade dos serviços, afetando as operações comerciais e a satisfação do cliente. Qualquer interrupção nos serviços pode ter um impacto prejudicial no setor. Por exemplo, se um ataque cibernético visar uma API na Web de uma empresa de serviços de saúde, esse ataque poderá levar ao acesso não autorizado de dados de pacientes e comprometer sua privacidade. Essa violação pode resultar em ações judiciais, multas e danos à reputação da empresa.

Perda financeira

Os ataques a APIs na Web também podem resultar em perdas financeiras para qualquer setor. Possíveis causas disso podem ser custos associados à remediação, taxas legais, multas regulatórias e perda de receita. Empresas de todos os setores podem ter dificuldades para se recuperar de perdas financeiras decorrentes de ataques cibernéticos.

Danos à reputação

A reputação de uma empresa é crucial em qualquer setor. Um ataque bem-sucedido a APIs na Web pode levar à publicidade negativa e desgastar a confiança do consumidor. Isso pode ter consequências de longo prazo para a reputação e para os resultados da empresa, afetando sua capacidade de atrair novos clientes e de reter os existentes. 

Análise de ameaças a APIs: pontos-chave a serem considerados

Nesse ambiente precário, a falha em realizar análises de risco completas pode ter repercussões graves, que vão de perdas financeiras e penalidades regulatórias a prejuízo à reputação da marca e à confiança do cliente. Há muitos pontos a serem considerados durante qualquer análise de ameaças a APIs. Estes são apenas alguns dos pontos:

  • Aumento da superfície de ataque: à medida que mais organizações expõem suas APIs para facilitar a integração com aplicações ou serviços de terceiros, a superfície de ataque se expande, fornecendo aos cibercriminosos mais pontos de entrada para lançar ataques. Essa superfície de ataque mais ampla aumenta a probabilidade de sucesso de ataques cibernéticos a APIs.

  • Exploração de vulnerabilidades: os invasores visam as APIs para explorar vulnerabilidades nas interfaces, como mecanismos de autenticação inadequados, manipulação insegura de dados ou falta de controles de autorização apropriados. Essas vulnerabilidades podem ser aproveitadas para obter acesso não autorizado a dados confidenciais ou para interromper operações de serviços.

  • Ataques automatizados: os invasores geralmente usam ferramentas automatizadas para verificar vulnerabilidades de APIs e iniciar ataques em escala. Esses ataques automatizados podem sobrecarregar sistemas, levando a tempo de inatividade do serviço, violações de dados ou outras atividades mal-intencionadas. Falhas na análise de risco podem resultar em danos graves e consequências significativas.

Ataques cibernéticos a APIs na América Latina

Os ataques cibernéticos a APIs são um problema altamente significativo na América Latina, já que essas organizações desempenham um papel vital no crescimento econômico da região. Como discutido anteriormente, os ataques cibernéticos a APIs podem interromper operações comerciais, levando a perdas financeiras e impacto negativos na economia geral. Dada essa realidade, as organizações na América Latina devem tomar medidas proativas para se protegerem e evitarem contratempos econômicos.

Os países da América Latina experimentaram um rápido aumento na evolução digital na última década, com as organizações adotando novas tecnologias e integrando seus sistemas por meio de APIs. Essa mudança digital torna essas organizações mais suscetíveis a ataques cibernéticos a APIs. Entender o problema é fundamental para garantir uma evolução digital segura e proteger dados e serviços valiosos.

Os países dessa região também implementaram normas rigorosas de proteção de dados e de cibersegurança. A falha em lidar com ataques cibernéticos a APIs pode resultar em não conformidade com essas normas, levando a consequências legais e penalidades financeiras. Entender o problema ajuda a garantir a conformidade com as leis e regulamentações relevantes da região.

As organizações na América Latina lidam com grandes quantidades de dados de clientes, incluindo informações de identificação pessoal. Os ataques cibernéticos a APIs podem comprometer esses dados confidenciais, levando a roubo de identidade, fraude e violações de privacidade. As organizações devem proteger os dados do consumidor, proteger as pessoas e manter sua confiança. A não implementação de medidas de segurança adequadas pode resultar em consequências devastadoras.

Como mencionado anteriormente, a reputação de uma organização é muito importante para a continuidade de seus negócios. Isso é especialmente crítico para organizações em muitos setores diferentes na América Latina, pois impactos significativos podem criar espaço para que os concorrentes conquistem uma posição com seus clientes e podem permitir que organizações estrangeiras tenham a oportunidade de expandir sua presença em um mercado em constante evolução.

Entender o significado dos ataques cibernéticos a APIs na América Latina é essencial para proteger as economias, cumprir as normas, proteger os dados do consumidor e preservar a reputação do setor. Reconhecendo o impacto dos ataques a APIs, as organizações na América Latina podem resolver vulnerabilidades e melhorar sua postura geral de cibersegurança.

Como os ataques a APIs estão evoluindo na América Latina?

Em 2023, os ataques a APIs continuaram a evoluir, tornando-se mais sofisticados e direcionados. Os motivos pelos quais os ataques a APIs continuam sendo uma ameaça são multifacetados e incluem o uso crescente de APIs em vários setores. À medida que mais organizações na América Latina adotam a evolução digital e desenvolvem aplicações orientadas por API, a superfície de ataque para vulnerabilidades de APIs se expande continuamente.

Ataques de ransomware que visam APIs das organizações para criptografar ou roubar dados confidenciais se tornaram mais predominantes em 2023, o que representa uma ameaça significativa para empresas em vários setores da América Latina. Os invasores também têm visado cada vez mais APIs de terceiros e dependências da cadeia de suprimentos para comprometer várias organizações. Além disso, integrações com sistemas de parceiros de negócios para melhorar processos e obter produtividade por meio da troca de dados de APIs abriram uma série de novas oportunidades de ataque. 

Devido à natureza confidencial dos dados e transações financeiras, o setor de serviços financeiros na região da América Latina, incluindo operações bancárias, companhias de seguros, pagamentos, fintechs e exchanges de criptomoedas, tem sido um alvo específico de ataques a APIs. 

A conformidade com regulamentos de proteção de dados, como o GDPR (Regulamento Geral de Proteçãode Dados)e a LGPD (Lei Geral de Proteção de DadosPessoais) no Brasil, tem orientado organizações na região da América Latina a melhorar as medidas de segurança de APIs para proteger dados pessoais e confidenciais contra acesso ou divulgação não autorizados.

No início de 2023, a região da América Latina já havia sofrido 500 mil ataques a aplicações Web e APIs (Figura 1). No final do ano, esse número havia subido para 1,5 bilhão de ataques. A Figura 1 também mostra a distribuição entre ataques direcionados a aplicações Web e ataques direcionados a APIs. Essa tendência indica a importância de implementar medidas de segurança fortes para proteger as APIs contra ataques mal-intencionados.

Ataques a aplicações Web e APIs Fig. 1: Ataques a aplicações Web e APIs

Quais setores da América Latina são vulneráveis a ataques a APIs?

Ao analisar os setores afetados por ataques a APIs, vemos que os invasores não têm uma preferência clara. Na realidade, eles parecem escolher alvos com base na possibilidade de ganho financeiro e na confidencialidade das informações desejadas, o que pode afetar a disposição de uma organização de aceitar extorsão. 

O momento também é um motivador. Por exemplo, um setor que está atualmente em expansão devido a alguma caraterística de mercado ou interesse social pode ser um alvo mais atraente. 

Serviços financeiros, comércio, saúde e organizações governamentais são alguns dos setores mais comuns na América Latina que enfrentam ataques a APIs. Essas organizações geralmente lidam com grandes quantidades de dados confidenciais e transações financeiras, o que as torna alvos importantes para os cibercriminosos. 

Embora o ganho financeiro seja certamente um motivador para os cibercriminosos, outros fatores, como o valor dos dados que estão sendo tratados e o impacto potencial de um ataque, também desempenham um papel significativo na determinação dos setores-alvo. Além disso, setores com infraestrutura crítica ou informações confidenciais podem ser alvo de razões mal-intencionadas além do ganho financeiro.

Serviços financeiros

O setor de serviços financeiros foi alvo da maior porcentagem de ataques a APIs em 2023, com 31,6% dos ataques na Web recebidos visando APIs (Figura 2).

Os serviços financeiros apresentaram a maior porcentagem de ataques a APIs, em parte devido à transformação digital do setor e à natureza das informações confidenciais que eles contêm Fig. 2: Os serviços financeiros apresentaram a maior porcentagem de ataques a APIs, em parte devido à transformação digital do setor e à natureza das informações confidenciais que eles contêm

Isso pode não ser uma surpresa, considerando o crescimento contínuo do setor e o rápido ritmo da evolução digital. As organizações de serviços financeiros introduzem constantemente novas aplicações, integrações e instalações para os clientes, portanto, o setor inevitavelmente atrai muita atenção. 

No entanto, pode haver outros motivos para os invasores cibernéticos além de apenas dinheiro. Por exemplo, eles podem querer acessar informações confidenciais de clientes ou interromper infraestruturas críticas, ambas com impactos empresariais devastadores.

Setor público

Em 2023, o setor público também foi um grande alvo de ataque a APIs por causa de seu papel crítico na sociedade e da possibilidade de impactos de alto perfil. 

Por exemplo, as agências governamentais detêm uma grande quantidade de informações confidenciais que podem ser valiosas para os cibercriminosos, e interromper as operações do governo pode ter consequências sérias para toda a população. Isso torna o setor público um alvo atraente para aqueles que procuram causar caos.

Comércio

O setor de comércio também é um dos principais alvos de ataques cibernéticos devido à grande quantidade de dados pessoais e financeiros que são trocados online. O setor de comércio depende muito da tecnologia para realizar transações e armazenar informações de clientes, o que o torna vulnerável a ciberameaças. Os cibercriminosos costumam visar varejistas online e processadores de pagamentos para roubar dados confidenciais ou interromper operações comerciais. 

O potencial ganho financeiro resultante da invasão desses sistemas é um grande incentivo para os invasores cibernéticos, tornando o setor de comércio um alvo lucrativo para os agentes mal-intencionados. À medida que a tecnologia continua avançando, a cibersegurança desempenhará um papel ainda mais crucial na proteção de empresas e consumidores.

Área da saúde

Outro fator que determina a escolha do alvo de um invasor é o nível de confidencialidade das informações que podem ser capturadas. Alguns setores são possíveis alvos devido à importância das informações que contêm. 

O setor de serviços de saúde, por exemplo, detém não apenas dados pessoais e financeiros, mas também registros médicos confidenciais, o que o torna um alvo importante para ataques cibernéticos. Outro aspecto importante é que essas organizações estão muitas vezes mais dispostas a aceitar pedidos de resgate para evitar a liberação de informações confidenciais.

Os invasores geralmente fazem uma pesquisa minuciosa para identificar quais setores possuem as informações mais valiosas. Ao visar organizações com informações críticas, eles podem maximizar seu potencial ganho financeiro ou impacto no serviço e, dessa forma, aumentar a probabilidade de que suas demandas sejam atendidas.

Vetores de ataque comuns na América Latina

À medida que os setores na América Latina adotam a evolução digital e utilizam as APIs para permitir integração e inovação perfeitas, a ameaça de ataques a APIs se aproxima. Os cibercriminosos estão constantemente evoluindo suas táticas para explorar vulnerabilidades em APIs, o que representa riscos significativos para os setores.

Vamos dar uma olhada em alguns vetores de ataques a APIs comuns encontrados na América Latina e explorar estratégias para mitigar essas ameaças (Figura 3).

HTTP, RFI e CMDi são os três principais vetores de ataques a APIs na região da América Latina Fig. 3: HTTP, RFI e CMDi são os três principais vetores de ataques a APIs na região da América Latina

Ataques de HTTP

Ataques de HTTP estão no topo da lista na América Latina, com 47,0% desses ataques direcionados a APIs. Os ataques de HTTP envolvem a exploração de vulnerabilidades em APIs da Web que usam o protocolo HTTP. Esses ataques podem ter vários alvos, incluindo roubo de dados confidenciais, obtenção de acesso não autorizado, interrupção de serviços ou execução de código mal-intencionado no servidor. 

Ataques de inclusão de arquivo remoto

Ataques de RFI (inclusão de arquivo remoto), que normalmente visam aplicações Web que usam mecanismos de inclusão de arquivos dinâmicos, como include(), require() ou funções comparáveis em linguagens de script do lado do servidor, como PHP, aparecem em segundo lugar na região, com 43,2% desses ataques direcionados a APIs. 

Ataques de injeção de comando

O terceiro vetor de ataque mais comum são ataques de injeção de comando (CMDi), com 14% deles direcionados a APIs. Esses ataques geralmente são usados para executar comandos arbitrários em um servidor ou sistema vulnerável, onde o invasor pode obter acesso não autorizado para executar comandos do sistema no sistema subjacente como parte de sua funcionalidade. Eles podem ser usados para executar comandos shell, carregar e processar arquivos, executar uma pesquisa ou consulta de banco de dados e muito mais.

É importante observar que outros tipos de ataques, como o abuso de APIs, ataques de autenticação, DoS (negaçãode serviço),SQLi (injeção de linguagem de consultaestruturada), XSS (cross-site scripting, execução de scripts entre sites) e LFI (inclusão de arquivolocal), também representam ameaças significativas às APIs e não devem ser negligenciados. 

A implementação de medidas de segurança abrangentes pode ajudar a reduzir o risco de todos os tipos de ataques a APIs. Com a crescente dependência de aplicações, é fundamental priorizar medidas de segurança que protejam contra vários tipos de ataques. 

O app abrangente da Akamai e a família de soluções de APIs oferecem diversos recursos de segurança, como visibilidade total de todas as APIs (vertical e horizontal), visibilidade de APIs de sombra e invasores, análise de comportamento histórico, análise de vulnerabilidade de APIs e muito mais. 

Conclusão

As APIs desempenham um papel fundamental na condução da inovação digital e integração nos setores da América Latina. No entanto, a crescente predominância de vetores de ataque a APIs representa um risco significativo para os ecossistemas digitais da região, a privacidade de dados e a segurança geral. 

Ao compreender e abordar proativamente esses vetores de ataque a APIs comuns, as organizações na América Latina podem reforçar suas defesas de cibersegurança, proteger os dados dos clientes e manter a confiança das partes interessadas. 

Práticas recomendadas para ajudar a proteger as APIs

Seguindo essas práticas recomendadas para o uso seguro de APIs, as organizações na América Latina podem ajudar a construir um futuro digital próspero para setores em toda a região.

  • Documente todas as APIs nos controles de segurança de APIs para maior visibilidade

  • Resolva problemas de configuração incorreta em suas APIs e implemente processos para evitar que futuras vulnerabilidades apareçam

  • Estabeleça uma disciplina de monitoramento de APIs e de busca de ameaças para eliminar brechas de segurança antes que os invasores possam usá-las contra você

  • Escolha uma solução de segurança que possa mitigar uma ampla gama de ameaças, desde os 10 principais riscos de segurança de APIs do OWASP até os ataques tradicionais da Web

  • Use soluções de segurança que ofereçam análise comportamental para detectar abuso de lógica de negócios e outras anomalias

  • Aproveite as orientações do OWASP sobre práticas de codificação para evitar os ataques mais comuns

  • Realize avaliações regulares de vulnerabilidade e selecione um provedor de soluções de segurança de classe mundial para receber suporte

  • Fique a par das ameaças emergentes

Veja nossa pesquisa
Helder Ferrão, responsable du marketing sectoriel

escrito por

Helder Ferrão

April 12, 2024

Helder Ferrão, responsable du marketing sectoriel

escrito por

Helder Ferrão

Helder Ferrão trabalha no mercado de tecnologia há mais de 35 anos, ocupando posições executivas em diferentes empresas de serviços de tecnologia e negócios. Atualmente, ele atua como Gerente de estratégia do setor para a América Latina na Akamai Technologies, analisando o desenvolvimento tecnológico e a transformação digital de vários mercados e como a Akamai pode contribuir para seus clientes nessa evolução.

Publicações do blog relacionadas

O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.
O Behavioral DDoS Engine da Akamai é uma poderosa adição a qualquer estratégia de defesa em profundidade.

Behavioral DDoS Engine da Akamai: um avanço na mitigação de DDoS moderna

November 07, 2024
À medida que a infraestrutura digital cresce, também aumentam as ameaças impostas pelos ataques de DDoS. Veja como o Behavioral DDoS Engine da Akamai pode manter seus negócios online.
por Aseem Ahmed e Abdeslam Bella
Leia mais
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.
Nossa nova regra dedicada Rails está detectando dezenas de milhares de tentativas de injeção de código Rails diariamente em todo o mundo.

Rails sem desvios: como impedir ataques de injeção de código

November 06, 2024
Proteja seus aplicativos Ruby on Rails críticos por meio da detecção dedicada de injeção de código.
por Sam Tinklenberg, Maxim Zavodchik, e Aparna Mandal
Leia mais
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.
Não há dúvida de que a revolução da IA transformou a cibersegurança, para melhor e para pior.

Explorando a inteligência artificial: a IA é superestimada?

November 04, 2024
Mergulhe em tecnologias de IA como inferência, aprendizado profundo e modelos generativos para aprender como LLMs e IA estão transformando os setores de cibersegurança e tecnologia.
por Berk Veral
Leia mais