segurança de APIs Salt header blog

As 3 indústrias de alto risco para vulnerabilidades na segurança de APIs

As APIs são o coração dos serviços digitais atuais. Com o desenvolvimento das organizações, implementá-las e modificá-las nunca foi tão rápido. Os negócios confiam nas APIs como a fundação para suas aplicações transformadoras e serviços online, pois elas permitem que eles compartilhem dados críticos com consumidores, parceiros e colaboradores. Na verdade, mais de 80% do tráfego de internet atual roda em APIs, tanto em canais internos quanto externos.

Entretanto, o crescimento sem precedentes das APIs apresenta novos desafios de segurança ao expandir a superfície de ataque disponível para os hackers. Uma análise da Gartner chegou a criar uma arquitetura de segurança de referência que inclui a proteção de API como um pilar próprio.

Embora o ecossistema esteja crescendo globalmente, algumas indústrias são mais propensas ao risco do que outras. Organizações de serviços financeiros, companhias de seguro e marcas varejistas estão no topo da lista daquelas em maior risco.

Por que empresas de serviços financeiros estão em maior risco?

As APIs desempenham um papel fundamental no preenchimento da transformação e inovação nos serviços financeiros. Considere o Open Banking, por exemplo, que está rapidamente se tornando a principal estrutura dos serviços financeiros. De acordo com Simon Torrance e Bain Capital, os mercados financeiros habilitados pelo Open Banking vão alcançar uma participação de $3.6 trilhões até o final de 2030.

O Open Banking é executado em APIs, que permitem o compartilhamento de dados financeiros para dar suporte a transações, que vão desde o acesso a informações da conta, até transferência de contas, pagamentos online e muito mais.

Esse crescimento do uso das APIs nos serviços financeiros criou significativos riscos de segurança. Ataques à APIs ameaçam iniciativas digitais chaves que tem se tornado críticas para os negócios nos últimos anos. Desde o começo da pandemia de Covid, serviços financeiros online e remotos têm se tornado essenciais para qualquer instituição que deseja se manter competitiva.

Ainda que os consumidores atuais esperem que os serviços financeiros digitais estejam na ponta de seus dedos, eles não estão dispostos a comprometer a segurança de seus dados para esses serviços. Sem a habilidade para proteger os dados de seus consumidores, as organizações financeiras perdem vantagem competitiva e ficam para trás em suas iniciativas de inovação.

Uma vez que uma companhia perde a confiança de seu consumidor, é muito difícil conquistá-la de volta, sendo que as apostas são ainda mais altas para companhias de serviços financeiros. Um ataque de API bem-sucedido compromete as informações da conta de usuário de um consumidor e dados de transações, podendo ter efeitos financeiros e reputacionais catastróficos.

O crescimento dos riscos que a indústria de serviços financeiros enfrenta tem se tornado mais aparente se considerarmos que as soluções de segurança tradicionais, como mitigação de bots, WAFs e gateways de APIs, não oferecem proteção adequada contra os ataques atuais.

Na verdade, a atividade dos criminosos parece um tráfego de API normal para ferramentas tradicionais, e seus limites de arquitetura significam que podem inspecionar somente uma transição por vez, além do limite de taxa. Elas também dependem de assinaturas para detectar padrões de ataque e uma vulnerabilidade diferente pode facilmente escorregar através das rachaduras.

Outros controles básicos, como autenticação, autorização e criptografia, que são altamente usados no Open Banking, também ficam aquém dos desafios de segurança de API.

Organizações de serviços financeiros precisam de insights mais profundos e uma profundidade de contexto sobre seus sistemas de API em crescimento, para que possam proteger-se totalmente. Eles precisam compreender comportamentos de API normais para visualizar rapidamente as anomalias por meio de milhões de chamadas de API. Sem esse tipo de contexto, os serviços financeiros e instituições se colocam em risco para violações que podem causar danos financeiros e reputacionais imensos, assim como penalidades de compliance e regulatórias.

Segurança de APIs em seguros: uma preocupação crescente

Como parte do ecossistema dos serviços financeiros, a indústria de seguros também confia fortemente em APIs para fornecer seus serviços e impulsionar a inovação. Os dias em que os indivíduos ligavam para seus corretores via telefone para configurar uma apólice já passaram. Os consumidores agora esperam comprar, configurar, renovar e reivindicar seu seguro exclusivamente online.

Para fornecer esses serviços digitalmente, as companhias de seguro precisam processar e compartilhar dados sensíveis dos consumidores com terceiros enquanto garantem que seus clientes possam acessar, mudar e submeter suas informações instantaneamente por meio de aplicações mobile e websites. Esse novo cenário tem definido as APIs como o coração dos seguros e apresenta novos desafios de segurança que também não podem ser resolvidos pelas soluções tradicionais.

A pandemia acelerou a confiança nas APIs no setor de seguros e impulsionou uma mudança rumo à automação. Um número crescente de provedores de seguros globais usa tecnologia de automação baseada em IA para fornecer seus serviços, processar reivindicações dos clientes e até mesmo auxiliar no processo de subscrição. De acordo com a McKinsey&Company, a IA vai efetivamente reformar a indústria de seguros por volta de 2030.

Para auxiliar o impulso para a inovação tecnológica em seguros, as APIs estão sendo desenvolvidas e implementadas mais rápido que nunca, dando aos hackers uma superfície de ataque mais ampla para assumir as informações da conta do usuário, concluir transações fraudulentas ou reivindicações falsas, causando interrupções gerais dos serviços.

Além disso, os seguradores enfrentam as mesmas obrigações regulatórias e de compliance que outras organizações e serviços financeiros. Um ataque de API pode gerar multas pesadas, além do dano à reputação que pode custar a confiança das bases de clientes.

Diferentes tipos de seguros requerem diferentes tipos de dados de clientes. Isso inclui informações confidenciais de identificação pessoal (PII), como histórico médico, registros de direção ou histórico de endereço. Alguns países também exigem produtos de seguro, como de carros, casas ou de invalidez profissional. As APIs entregam conectividade para compartilhar toda essa gama de dados de clientes, ampliando ainda mais o escopo de possíveis ataques.

A área de seguros entrou em um estágio crucial de sua inovação digital, e as APIs têm desenvolvido um grande papel ajudando novos serviços. Segurança de API dedicada e baseada em IA permite que os seguradores permaneçam competitivos em um cenário em mudança enquanto protegem a fidelidade, a eficiência e a conformidade dos clientes.

APIs no varejo: os riscos enfrentados pelo E-commerce

De todas as indústrias que passaram por uma grande ruptura nos últimos anos, o varejo é a que, de longe, mais a experienciou. Com o Covid fechando lojas físicas por meses a fio, os serviços digitalizados se tornaram a única maneira de sobreviver para muitas marcas.

Para vender seus produtos online e atender às novas expectativas dos clientes por compras digitais rápidas e confiáveis, os varejistas confiam em centenas de APIs. De procurar um produto no catálogo para realizar um pedido, até realizar um pagamento, cada passo que os consumidores tomam quando estão comprando dependem de APIs, para compartilhar dados por meio de diferentes estágios da jornada de compra.

De acordo com uma pesquisa, as transações de E-commerce irão ultrapassar $7.5 trilhões globalmente em 2026. Esse crescimento contínuo nas compras online resulta inevitavelmente em um aumento do uso de APIs, o que expande a superfície de ataque disponível para os hackers e o nível de exposição aos dados sensíveis dos consumidores. Isso também significa que os dados estão mudando mais frequentemente que nunca, levando a um risco maior de vulnerabilidades no desenvolvimento, bem como desafios de visibilidade.

De acordo com o último relatório State of API, lançado pela Salt Labs, 83% das organizações relatam falta de confiança que seus inventários de API estejam completos. Afinal, não é possível proteger o que não se pode ver.

Embora muitas companhias varejistas tenham várias soluções de segurança implementadas, é possível notar que ferramentas tradicionais são incapazes de detectar e prevenir contra ataques de API atuais. Colocando de forma simples, varejistas que desejam reter ou expandir sua base de clientes no mundo digitalizado de hoje precisam desenvolver uma estratégia de segurança de API que seja suportada por tecnologia baseada em IA e que possa cobrir todo o ciclo de vida das APIs.

A segurança de API precisa ser uma prioridade

Nos últimos 12 meses, 95% das organizações experienciaram um incidente com segurança de API com ataques de tráfego de API crescendo 681% no mesmo período — duas vezes mais rápido do que tráfego de API geral.

Nos serviços financeiros, seguradoras e indústrias de varejo, as APIs têm se tornado uma parte essencial da inovação dos negócios. Simultaneamente, eles também se tornaram o alvo principal para ataques, fazendo a proteção das APIs se tornar obrigatória para companhias que querem inovar, crescer e atender as expectativas dos clientes.

As organizações de cada uma dessas indústrias precisam garantir a proteção dos dados de seus clientes, suas receitas e reputação, enquanto operam em mercados altamente competitivos. Para isso, é necessária uma solução de proteção de APIs dedicada.

Para alcançar esse nível de segurança, as empresas podem contar com a Salt Security, que é especialista na segurança de APIs, fazendo uso de IA e garantindo que qualquer negócio possa focar na inovação e na praticidade que as APIs trazem aos seus processos, sem se preocupar com os ataques específicos desenvolvidos especialmente para elas.

A M3Corp conta com a Salt Security no portfólio. Entre em contato para entender mais sobre a importância da segurança específica para APIs e porque esse é um diferencial para os seus clientes. Clique aqui para falar com o time M3Corp e aqui para conhecer mais sobre a Salt Security.