APAC: A Nova Fronteira da Segurança Cibernética

Recentemente, violações de segurança têm demonstrado uma mudança nos ataques, que agora visam as Interfaces de Programação de Aplicações (APIs) em vez dos endpoints tradicionais. As proteções de perímetro convencionais muitas vezes não detectam essa nova frente de ataque. Como diz Sean Murphy, CISO da BECU, uma cooperativa de crédito nacional, “Antes falávamos sobre defesa em profundidade e proteção de endpoints. Isso evoluiu para identidade, e agora a API é o novo perímetro.”

A arquitetura de backend da BECU é fortemente baseada em microsserviços e APIs, tornando esta uma área crucial – e crescente – para proteger. “Elas são sua porta da frente, e se você não souber qual é o inventário de suas APIs, os invasores certamente as encontrarão.” Com o desenvolvimento “API-first” em ascensão, os portfólios de APIs têm se expandido silenciosamente em grandes empresas. Estimativas conservadoras colocam o número médio de APIs em uma grande empresa entre 250 e 500, mas não é incomum que empresas operem com milhares.

O Crescimento Exponencial das APIs e os Riscos Associados

Essas interfaces úteis frequentemente conectam sistemas de backend, parceiros e dados de clientes. No entanto, seu acesso é frequentemente não governado, inseguro ou mal configurado. Um relatório de 2025 da Salt Security descobriu que quase uma em cada três organizações sofreu uma violação de API nos últimos 12 meses. Eles também descobriram que 95% dos ataques se originam de fontes autenticadas, frequentemente usando chaves de API ou credenciais roubadas.

As abordagens de segurança tradicionais, como detecção e resposta de endpoint (EDR) e firewalls de aplicação web (WAFs), muitas vezes perdem esses ataques porque carecem do contexto necessário para detectar abusos da lógica de negócios. Para esses sistemas, o abuso de API muitas vezes se parece com tráfego normal e válido. “EDR e WAFs foram construídos para os problemas de ontem: malware em endpoints e exploits web básicos”, diz Elliott Franklin, CISO da Fortitude Re, uma empresa de resseguros. “Sem um profundo entendimento da lógica de negócios e do contexto de identidade, as ferramentas tradicionais perdem o roubo de credenciais, o roubo de tokens ou a raspagem de dados.”

A Necessidade de Novas Ferramentas e Práticas

Os CISOs afirmam que resolver o problema em escala requer novas ferramentas, práticas e estruturas de governança. Também será necessária uma mudança orientada à identidade para se proteger contra os problemas de amanhã, que giram em torno do uso de APIs em IA agente. As APIs impulsionam a maioria do tráfego da internet, e os cibercriminosos estão aproveitando isso. Na violação da Optus em 2024, os invasores expuseram 9 milhões de registros de clientes devido ao controle de acesso à API quebrado. Nos últimos dois anos, exploits de API também atingiram WhatsApp, Trello, 23andMe, Avelo Airlines e Volkswagen.

Essas ameaças levam muitos CISOs a ver as APIs como uma superfície de ataque primária. “As APIs se tornaram a superfície de ataque mais crítica e de expansão mais rápida para a empresa moderna”, diz Senthil Subramaniam, CISO global e vice-presidente assistente da Infinite Computer Solutions, uma empresa de serviços de TI. “Muitos incidentes de segurança de API surgem de falhas como ataques de injeção e autorizações quebradas.”

Visibilidade e Governança: Pilares da Segurança de APIs

Um dos principais contribuintes para o aumento de exploits é a ubiquidade das APIs, que agora atuam como tecido conjuntivo em toda a empresa, conectando plataformas SaaS, cargas de trabalho em nuvem e aplicativos internos. “Essa ubiquidade as torna um foco natural para os invasores”, diz Franklin da Fortitude Re. A abertura das APIs e sua proximidade com dados confidenciais e sistemas críticos também as tornam atraentes para os invasores.

“As APIs absolutamente se tornaram uma das principais superfícies de ataque hoje”, diz James Faxon, um consultor principal da Risk & Insight Group e anteriormente CISO da NukuDo, uma empresa de desenvolvimento de talentos em segurança cibernética. “Em muitos ambientes, as APIs agora representam um caminho muito mais direto para os sistemas de negócios do que os endpoints jamais foram.”

“Um invasor não precisa comprometer um laptop ou implantar malware para obter vantagem”, acrescenta Faxon. Ao simplesmente obter um token, ele explica, um invasor pode explorar uma má configuração ou lógica de autorização com falhas para se mover lateralmente e extrair dados sem acionar os controles de endpoint tradicionais.

Para piorar a situação, muitas organizações não possuem inventários de API adequados, tornando fácil que as APIs fiquem fora da supervisão normal. Um estudo de 2023 da Enterprise Management Associates descobriu que cerca de 70% das empresas têm apenas 30% de suas APIs documentadas. Essa figura não inclui APIs shadow fora da governança de segurança normal.

O Impacto da Inteligência Artificial no Cenário de Ameaças

“A maioria das equipes não tem visibilidade clara de como suas APIs estão funcionando nos bastidores”, diz Chaim Mazal, diretor de segurança e IA da empresa de segurança em nuvem Gigamon. Sem um entendimento claro de como as APIs se comunicam e os dados que expõem, os desenvolvedores podem inadvertidamente criar caminhos de ataque exploráveis.

Outros veem urgência crescente em meio às mudanças impulsionadas pela IA. “As APIs podem ainda não ser a principal superfície de ataque, mas estão se tornando mais urgentes nos últimos anos”, diz Andreas Gaetje, CISO da Körber, um fornecedor de soluções inteligentes de fabricação e cadeia de suprimentos, que observa que a hiperautomação e a IA agente tornam a segurança de API mais urgente.

Embora o número de incidentes de segurança de API relatados não supere o roubo de credenciais, phishing e comprometimento de endpoints, observa Mark Dorsi, CISO da Netlify, uma empresa de computação em nuvem. Mas o nível de ameaça está mudando à medida que os sistemas autônomos ganham capacidades de maior valor. “À medida que os sistemas agentes interagem cada vez mais com os serviços por meio de APIs, incluindo o Protocolo de Contexto do Modelo, fluxos de trabalho agente para agente e integrações automatizadas, as APIs verão um aumento material tanto no uso quanto na exposição”, diz Dorsi.

Estratégias para Mitigar as Ameaças de API

Os CISOs estão implementando uma variedade de estratégias para mitigar as ameaças de API. Isso vai além de comprar novas ferramentas nativas da nuvem – requer uma estratégia de governança de API envolvendo políticas em toda a organização, inventários de API, verificações automatizadas e controle de acesso forte à identidade. Por exemplo, a BECU implementou uma estrutura de governança de API, adotando uma única política para todos os desenvolvedores. “Começamos a construir a governança antes que a tecnologia fosse alavancada”, explica Murphy. Isso é crítico para reduzir a possibilidade de má configurações, ele diz, que continua sendo um risco importante nos 10 principais riscos de segurança de API da OWASP.

Em grandes empresas, orientações de segurança compartilhadas ajudam a manter o acesso com o menor privilégio e evitar a exposição de segredos internos. Embora todos os engenheiros e construtores de API estejam sujeitos à política interna da BECU, ela está em constante evolução, acrescenta Murphy. “Uma governança de API forte é fundamental”, concorda Franklin. “Na Fortitude Re, estamos integrando a segurança de API em nossa estratégia mais ampla de gerenciamento de identidade e acesso.” Uma área fundamental de foco é o rastreamento de identidades não humanas, o que ajuda a inventariar e classificar as APIs em uso. “A maior lacuna que vejo são as APIs shadow”, acrescenta ele.

Conclusão: A Segurança de APIs é um Imperativo

Em última análise, os CISOs não devem abandonar as ferramentas de segurança tradicionais. Mas eles precisam estender a segurança mais profundamente no processo de desenvolvimento e design, incorporando verificações no início, fortalecendo a autorização baseada em identidade e melhorando a visibilidade em tempo real das interações em nível de negócios. Ao combinar governança, controles de identidade e visibilidade, os CISOs podem se preparar adequadamente para as realidades de segurança de um mundo orientado por APIs.

Destaque

Como Escolher a Melhor Ração para seu Cachorro? Guia Completo e Dicas de Veterinário

Fit&Furry é Boa? Análise Completa + Amostra Grátis (Review Ração Super Premium 2026)

🔥 Hospede Seu Site com Desconto Exclusivo de 20% na Hostinger – Rápida, Segura e com Suporte 24/7!

Treinamento Funcional para Educação Física – Transforme Suas Aulas em 2025

30 Dias com Deus para Restaurar Seu Relacionamento – Um Caminho de Fé e Renovação

21 Formas de Fazer R$3.000 Online em 2025 – Guia Passo a Passo

O Ímã da Abundância: Os Segredos da Lei da Atração – Descubra como atrair prosperidade

Suplementos Whey Nerd: Potência Geek com o Cupom CHEGOUAGORA!