Em busca do equilíbrio: a segurança de APIs e a proteção de dados

Em busca do equilíbrio: a segurança de APIs e a proteção de dados

As APIs estão se tornando cada vez mais essenciais para as operações empresariais e de segurança pública, pois podem melhorar a experiência tanto dos usuários quanto dos provedores, além de proporcionar agilidade e eficiência para os negócios. No entanto, sua segurança se estabelece como um componente crítico, especialmente com o aumento da complexidade e da interconectividade entre sistemas. Segundo o mais recente relatório SOTI (State of the Internet) da Akamai, de 2024, intitulado "Lurking in the Shadows: Attack Trends Shine Light on API Threats", os ataques cibernéticos tendem a continuar aumentando, acompanhando a crescente demanda pelo uso de APIs. Nesse contexto, um dos desafios persistentes para os líderes de segurança cibernética é a necessidade de proteger dados sensíveis e assegurar a conformidade com regulamentações de proteção de dados e outras diretrizes específicas do setor. O avanço de tecnologias como a inteligência artificial generativa (GenAI) traz oportunidades para acelerar a produtividade dos desenvolvedores, mas não elimina a necessidade de práticas de segurança integradas. Muito pelo contrário: a adoção de práticas robustas desde o início da operação pode evitar a introdução de novas vulnerabilidades.

Neste artigo, Simone Ferreira, diretora de tecnologia e proteção de dados da Polícia Civil do Distrito Federal, fala ao Web Security Hub sobre suas estratégias para contornar o desafio de encontrar o equilíbrio entre tecnologia e legislação na segurança de APIs.

“Manter um equilíbrio entre a segurança rígida exigida pelas regulamentações e a flexibilidade necessária para a inovação tecnológica é um desafio constante. A segurança de APIs deve ser projetada para ser robusta, sem sufocar a inovação ou reduzir a eficiência operacional”, pondera.

Com a complexidade crescente das APIs, muitas vezes implementadas rapidamente para atender a demandas empresariais, a especialista lembra que elas acabam por expor mais dados do que o necessário, tornando-se alvos fáceis para ataques de scraping e engenharia reversa. Assim, reforça a necessidade de abordar a evolução da segurança de APIs com um olhar atento, tanto para os aspectos técnicos quanto para os regulatórios. “Isso pode garantir uma abordagem equilibrada entre a proteção de dados e a inovação tecnológica”, avalia.

Para Simone, a evolução da segurança de APIs deve levar em conta pontos que afetam qualquer solução de software oferecida, desde o princípio da minimização de dados, “que presume que as APIs devem ser projetadas para minimizar a coleta e o processamento de dados pessoais, alinhando-se com os princípios de proteção de dados”, até o consentimento e a transparência sobre o uso de dados. “Sem dúvida, o alinhamento entre a segurança de APIs e as regulamentações de proteção de dados, como o RGPD (Regulamento Geral sobre a Proteção de Dados) na Europa e a LGPD (Lei Geral de Proteção de Dados) no Brasil, é fundamental, mas devemos, além disso, levar em consideração outras regulamentações específicas que afetam a segurança pública e o uso de inteligência artificial”, reforça.

Entre os desafios para as organizações e profissionais de cibersegurança nesse aspecto, ela cita a complexidade regulatória. “Alinhar práticas de segurança técnica com requisitos regulatórios pode ser complexo, especialmente em ambientes multinacionais. Há também a preocupação com a gestão de terceiros, visto que é preciso garantir que estejam em conformidade com as mesmas políticas de segurança e proteção de dados da empresa contratante.”

GenAI

No caso do uso de IA em APIs para segurança pública, o uso deve ser cuidadosamente gerenciado para evitar vieses e garantir a conformidade com normas éticas e regulamentares. “A introdução de práticas de IA responsáveis, como auditorias de IA e revisões de impacto de IA, torna-se essencial.”

Sobre a adoção da GenAI para elevar a produtividade das equipes de desenvolvimento ao gerar novos códigos, ela alerta que as APIs geradas ou modificadas com o auxílio da tecnologia podem inadvertidamente incorporar vulnerabilidades existentes em códigos públicos ou desatualizados, aumentando os riscos de ataques. “Portanto, é essencial que o uso de GenAI em engenharia de software seja acompanhado por práticas robustas de segurança, como revisões manuais de código e testes automatizados, para garantir que a inovação não comprometa a segurança.”

Detecção precoce

Ainda que o equilíbrio entre a inovação e a regulação seja um desafio constante para os gestores, ela destaca que, para minimizar danos, o importante é concentrar a estratégia na detecção precoce de uma API comprometida. Para tal, são fundamentais: processos de teste e homologação, além de monitoramento permanente.

Entre os sinais precoces de que uma API pode estar comprometida, estão o aumento repentino de tráfego ou padrões de uso incomuns, as solicitações de API fora do horário normal de uso ou de locais geográficos inesperados, falhas de login repetidas, tentativas de acesso de IPs desconhecidos. “Padrões de acesso anômalos, falhas repetidas nos mecanismos de autenticação ou alterações de autorização sem motivo aparente também são sinais que merecem uma atenção especial”, reforça.

Para esses casos, a especialista lista os passos estratégicos para responder aos incidentes:

• Isolamento do componente comprometido: segregar a API comprometida para evitar a propagação de ataques.
• Análise forense: coletar e analisar registros de atividade para identificar a origem do ataque e o método de comprometimento.
• Notificação de stakeholders: informar equipes internas, parceiros e, se necessário, clientes sobre o incidente.
• Correção de vulnerabilidades: implementar patches ou correções para vulnerabilidades identificadas.
• Revisão de segurança e testes: realizar testes de segurança para validar que a ameaça foi mitigada e que não há novas vulnerabilidades introduzidas.
• Melhoria de processos e políticas: atualizar políticas de segurança e processos de resposta a incidentes com base nas lições aprendidas.

Como pode notar, o fortalecimento da segurança das APIs não é apenas uma necessidade técnica, mas uma prioridade estratégica nas corporações. Proteger as interfaces críticas contra ameaças emergentes exige uma combinação de políticas de segurança robustas, tecnologias avançadas e uma mentalidade proativa em relação ao risco. Se você é um líder de cibersegurança e deseja manter-se atualizado sobre os riscos, desafios e avanços do setor, torne-se um membro ativo do Web Security Hub.