©2024 Akamai Technologies
O setor de serviços financeiros está rapidamente adotando a transformação digital para se manter competitivo em um mercado em constante evolução. Ao usar recursos digitais, como inteligência artificial e análise de big data, as instituições financeiras podem oferecer produtos inovadores, reduzir custos e fornecer serviços mais personalizados e eficientes aos clientes.
Ao mesmo tempo, a transformação digital traz consigo um maior risco de ataques cibernéticos. Para combater esse problema crescente, a cibersegurança é agora parte essencial de qualquer estratégia de transformação digital. As empresas de serviços financeiros devem garantir que seus sistemas sejam seguros e resilientes para proteger os dados e ativos dos clientes contra agentes mal-intencionados.
Um dos principais bancos comerciais da Ásia rapidamente procurou a Noname Security (agora uma empresa Akamai) para ajudar a fortalecer sua postura de segurança de APIs. As violações de APIs atingiram taxas alarmantes; o Tech Wire Asia destacou que "hoje, até 1 em cada 13 incidentes cibernéticos podem ser atribuídos à falta de proteção de APIs". Eles também enfatizam que "as vulnerabilidades de APIs custam às empresas até US$ 75 bilhões anualmente".
Considerando que nosso cliente tem mais de US$ 700 bilhões em total de ativos, mais de 5.000 clientes corporativos e uma reputação de gerenciamento patrimonial mundialmente renomada, era imperativo que todas as vulnerabilidades de APIs fossem abordadas o mais rápido possível.
Necessidade de maior visibilidade das APIs e seus riscos
A instituição já havia implantado uma plataforma de gerenciamento de APIs para autenticação e controle de tráfego, mas havia dúvidas sobre sua capacidade de prevenir o abuso de APIs e ataques cibernéticos. Embora os gateways de APIs forneçam controles básicos de segurança de APIs, que são muito necessários, eles infelizmente não são suficientes para proteger adequadamente as organizações contra ameaças específicas a APIs.
Por exemplo, a autorização em nível de objeto corrompida, muitas vezes chamada de BOLA, aparece como tráfego de API normal para os gateways. Essa falta de conscientização contextual entre solicitações e respostas de APIs permite que os ataques de BOLA passem sem serem detectados e acessem serviços de back-end importantes. Essa falha não só pode deixar as organizações vulneráveis às explorações do BOLA, como também pode abrir a porta para outros ataques e abusos de lógica empresarial.
Outra limitação de visibilidade envolve a manutenção de um inventário de APIs preciso. Como acontece com a maioria das grandes organizações, o banco estava tendo dificuldades com APIs desconhecidas em seu ambiente. A realidade é: as empresas gerenciam milhares de APIs, muitas das quais não são direcionadas por meio de um proxy, como um gateway de APIs. Essas são chamadas de APIs não autorizadas ou APIs zumbis. Essas APIs provavelmente foram implantadas por ex-funcionários ou antes que a organização começasse a levar a sério a segurança de APIs. Seja qual for a razão pela qual elas existem, o gateway de APIs do banco não podia vê-las, então era fácil subestimar quantas APIs existiam.
Evoluir para atingir o desafio de segurança de APIs
A organização implantou a plataforma completa de segurança de APIs da Noname (agora parte do Akamai API Security), incluindo soluções de gerenciamento de postura de APIs, proteção de tempo de execução e testes no ambiente. A postura de segurança do cliente melhorou exponencialmente, pois agora ele é capaz de detectar e corrigir vulnerabilidades em um dos vetores de ameaças mais obscuros do mundo.
Agora, APIs desconhecidas podem ser descobertas e reveladas dentro da plataforma, permitindo visibilidade completa e mitigação de riscos. A instituição reduziu drasticamente a dispersão de APIs e melhorou a conformidade, já que o Akamai API Security classifica dados confidenciais para ajudar a cumprir regulamentações como GDPR, HIPAA e outras.
O banco também agora tem a capacidade de interromper ataques em tempo real e proteger ativos de dados do cliente. A solução de proteção do tempo de execução detecta e prioriza ameaças potenciais, além de monitorar continuamente a atividade das APIs. Ao integrar-se a firewalls de aplicativos da Web, gateways de API, gerenciamento de informações e eventos de segurança, gerenciamento de serviços de tecnologia da informação e outras ferramentas para fluxos de trabalho, nossa plataforma permite a remediação de ameaças manualmente, semiautomaticamente ou automaticamente.
Resultados
As APIs se tornaram rapidamente o vetor de ataque preferido dos hackers, e não há sinais de desaceleração desses ataques. Por exemplo, vimos "um aumento de 257% em ataques a aplicativos da Web e APIs contra instituições de serviços financeiros ano a ano" em 2022. A empresa de serviços financeiros estará bem preparada para evitar se tornar parte da estatística e se defender contra essa tendência graças ao Akamai API Security. Em particular, as equipes de segurança dos clientes entenderão melhor os perigos que as APIs apresentam e poderão criar sistemas ainda mais seguros.
Sobre a Akamai
A Akamai é a empresa de cibersegurança e computação em nuvem que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança. Saiba mais em akamai.com/pt e akamai.com/pt/blogou siga a Akamai Technologies no X e LinkedIn.