Por que as empresas de serviços financeiros precisam aprimorar a segurança de suas APIs?

Mais de 3/4 dos desenvolvedores de software dizem que participar da economia de API é ou será uma prioridade de negócios para sua organização*. “No entanto, nos serviços financeiros esse número é ainda maior, passando dos 80% e superando todas as outras indústrias”, comenta Daniela Costa, diretora de vendas para a América Latina da Salt Security, empresa criou em 2016 o mercado de segurança de API e entrega hoje a única solução patenteada para prevenir a próxima geração de ataques de API.

Aproveitando as APIs, as organizações de serviços financeiros podem inovar e trazer rapidamente ao mercado experiências e serviços exclusivos para os clientes. No entanto, o rápido crescimento das APIs também expandiu a superfície de ataque e introduziu novos riscos à segurança. As instituições financeiras sempre foram um dos principais alvos, porque ataques bem-sucedidos são extremamente lucrativos neste setor.

“No cenário dos serviços financeiros digitalizados, o risco nunca foi tão grande e é possível identificar quatro grandes fatores que estão impulsionando a urgência de uma melhor segurança das APIs”, analisa Daniela Costa. São eles:

O uso da API aumentará ainda mais

Nos serviços financeiros, a trajetória de alto crescimento das APIs continuará. Elas fornecem a conexão de dados necessária para suportar os aplicativos financeiros móveis atuais e os sistemas de pagamento peer-to-peer. As APIs estão no centro do open banking, permitindo que as empresas de serviços financeiros padronizem a forma como se conectam e trocam dados. Isso viabiliza que as informações financeiras dos consumidores sejam compartilhadas instantaneamente entre organizações e provedores de serviços de terceiros. Com diferentes parceiros e fornecedores de tecnologia, as conexões de API estão sendo continuamente adicionadas ao ecossistema financeiro.

Além disso, o crescimento do open banking apenas começou. De acordo com Simon Torrance e Bain Capital, os novos mercados de finanças embarcadas habilitados pelo open banking atingirão US$ 3,6 trilhões de participação de mercado até 2030, somente nos Estados Unidos. Para os serviços financeiros, isso significa ainda mais APIs e uma superfície de ataque em crescimento contínuo que deve ser adequadamente protegida.

Ataques de API ameaçam as principais iniciativas empresariais

O open banking dá aos consumidores mais opções e conveniência para atender às suas necessidades financeiras. Ele também aumenta a concorrência em todo o setor de serviços financeiros e gera novas receitas, oferecendo às instituições financeiras mais tradicionais a oportunidade de competir com a agilidade das fintechs.

“A digitalização tornou-se uma iniciativa crítica de negócios e é cada vez mais importante em serviços financeiros. No entanto, sem a capacidade de proteger os dados que estão sendo usados dentro desses serviços, as organizações financeiras perdem essa oportunidade inteiramente. Aproveitar essas oportunidades de negócios exige a proteção das APIs e apenas um ataque bem-sucedido tem o potencial de eliminar todos os ganhos obtidos com a transformação digital de uma organização”, analisa Daniela.

Incidentes de segurança da API minam a confiança do consumidor

Uma vez que se perde a confiança é muito difícil recuperá-la e nos serviços financeiros os custos podem ser bastante elevados. O Salt Labs, braço de pesquisa da Salt Security, em seu relatório mais recente, descobriu uma vulnerabilidade em uma grande plataforma fintech que fornece uma ampla gama de serviços de banco digital para centenas de bancos e milhões de clientes.

A vulnerabilidade tinha o potencial de comprometer cada conta de usuário e dados de transação atendidos por seus bancos de clientes, chegando a permitir transferências de fundos não autorizados para as contas bancárias dos invasores. Esse pesadelo não ocorreu porque o problema foi identificado antes que os criminosos o fizessem. Não é difícil imaginar os prejuízos financeiros e à imagem da organização. A natureza dos aplicativos de serviços financeiros é trocar dados sensíveis, tornando as APIs um ativo de alto risco que exige proteção.

Soluções tradicionais não oferecem proteção adequada à API

A maioria das empresas de serviços financeiros tem pilhas de segurança de tempo de execução sofisticadas com várias camadas de ferramentas de segurança, como mitigação de bots, WAFs e gateways de API. Essas ferramentas tradicionais fornecem recursos de segurança fundamentais e proteção para as aplicações tradicionais; no entanto, elas não têm o contexto necessário para identificar e parar ataques que visam a lógica única de cada API.

“A segurança da API requer big data para capturar todo o tráfego de API e inteligência artificial (IA) e machine learning (ML) para analisar continuamente os grandes volumes de tráfego. Sem a análise contínua do tráfego, não é possível entender o comportamento normal para cada API e obter o contexto necessário para identificar os atacantes”, alerta Daniela.

Além disso, enquanto o open banking define padrões em torno de como as APIs devem ser estruturadas para permitir integrações e comunicações previsíveis, o open banking não fornece nenhum padrão para atender ao principal dos requisitos de segurança da API. Os controles básicos, como autenticação, autorização e criptografia, não conseguem enfrentar os desafios de segurança das APIs.

A segurança da API deve estar na vanguarda dos serviços financeiros

Violações de dados financeiros custam ao negócio em termos de conformidade com a legislação e multas regulatórias, gerando perda de receita e causando danos irreparáveis à imagem de uma organização. Reputação é tudo no altamente competitivo mercado de serviços financeiros.

“As organizações que atuam nesse mercado devem priorizar a segurança das APIs para proteger essa crescente superfície de ataque. Para isso, é necessária uma ferramenta de segurança capaz de cobrir todo o ciclo de vida da API, fornecendo visibilidade contínua da superfície de ataque, prevenção antecipada das ações criminosas e insights automatizados para melhoria contínua da API”, destaca Daniela Costa.

[1] Postman 2021 State of APIs

Sobre a Salt Security

A Salt Security protege as APIs que formam o núcleo de todas as aplicações modernas. Sua Plataforma de Proteção de API é a primeira solução patenteada do setor para evitar a próxima geração de ataques de API, usando aprendizado de máquina e IA para identificar e proteger automaticamente e continuamente as APIs. Implantada em minutos, a plataforma Salt Security aprende o comportamento granular das APIs de uma empresa e não requer configuração ou personalização para identificar e bloquear os atacantes de API. A Salt Security foi fundada em 2016 por ex-alunos das Forças de Defesa israelenses (IDF) e executivos de empreendedores no campo da cibersegurança, estando sediada no Vale do Silício e em Israel.