O papel do Red Team e do Blue Team na proteção dos Apps e APIs que aceleração o Brasil em 2024
Andrew Oteiza*
O dado é o negócio. Sendo processado em Apps como Internet Banking, portais de e-commerce e sites de e-Gov, está disponível 24×7 para acessos remotos. O destino do dado é alimentar aplicações modernas em constante desenvolvimento e rodando de forma distribuída. Nesses Apps, a nossa vida acontece. Em 2024, o uso extensivo de APIs (Application Programming Interfaces) tornará a dependência de dados trocadas entre aplicações diferentes, de empresas diferentes, ainda maior. Não existe aplicação moderna sem o consumo de APIs. O App Uber, por exemplo, consome via APIs dados de plataformas de geolocalização de empresas terceiras. Não faz sentido o Uber ter sua própria aplicação de geolocalização. Por essa razão, APIs externas entregam esses dados à aplicação Uber. A partir daí, gera-se em milissegundos a resposta exata – incluindo mapas – à solicitação de carro do cliente.
Esse exemplo se repete, hoje, em todas as verticais da economia. A criticidade das APIs exige visibilidade sobre a resiliência cibernética dessas linguagens.
O Brasil é o terceiro maior consumidor de APIs em todo o mundo, ficando atrás da Índia e dos EUA neste quesito. Somente em 2022, foram 52,4 milhões de APIs movimentando os negócios. Mas a força da economia digital brasileira é tal que o país também se diferencia em desenvolvimento de APIs: é o quarto maior publicador de APIs, com 5,45 bilhões de linguagens.
A força do PIX
Uma das razões para a forte disseminação de APIs no mercado brasileiro é o PIX, uma plataforma totalmente regulamentada e gerenciada pelo Banco Central do Brasil que explora de maneira profunda a troca de dados financeiros entre milhares de organizações diferentes. Até 31 de outubro de 2023, foram realizadas 66,5 bilhões de transações via PIX no Brasil. O valor movimentado chegou a 29,7 trilhões de Reais.
A força do PIX levou a adoção de APIs para muito além do setor bancário – a vertical varejo, por exemplo, cada vez mais adiciona funções financeiras a seus Apps. Isso vale também para Apps de companhias aéreas, empresas de entretenimento etc.
Justamente por estarem no coração da economia brasileira, as APIs são um alvo primordial das gangues digitais. Segundo a edição 2023 do estudo State of APIs, realizado pela Postman a partir de entrevistas online com 40.000 desenvolvedores e gestores de TI de todo o mundo, são muitas as vulnerabilidades das APIs. Numa resposta de múltipla escolha, 30% dos desenvolvedores e gestores indicaram que falhas de autenticação, autorização ou controle de acesso de APIs são suas maiores preocupações. 18% sofrem com vazamentos de dados, enquanto 16% lutam com dificuldades de segurança trazidas pela própria lógica dos negócios – falhas frequentemente ligadas a ecossistemas ou marketplaces. 13% tentam contornar falhas nos processos de logging e monitoramento e, finalmente, 8% acusam o golpe de ataques DoS focados nas APIs.
Dados distribuídos entre muitas nuvens
O desafio aumenta devido à forte presença da computação em nuvem no Brasil – a edição deste ano da Pesquisa Anual do Centro de Tecnologia de Informação Aplicada da Fundação Getúlio Vargas (FGVcia) indica que a nuvem em suas várias modalidades (pública, híbrida, privada, fog, edge) já sustenta 42% dos negócios digitais das empresas.
Trata-se de um modelo profundamente distribuído, e distribuído entre nuvens muito diferentes entre si. Há uma imensa escala de dados sendo trocados por meio de APIs rodando em nuvens com diferentes níveis de maturidade em segurança digital.
Neste contexto, uma estratégia abrangente se faz necessária. Do ponto de vista de tecnologia, a sustentação dos negócios brasileiros exigirá cada vez mais o uso de plataformas de cybersecurity tão distribuídas e multiprotocolo quanto a nuvem e os pontos onde as APIs estão sendo publicadas e consumidas. A volume de dados é tal que essas plataformas de proteção de dados têm de oferecer a máxima performance – sem isso, a UX entregue ao consumidor será afetada, e os negócios também.
Cada chamada de API tem de ser checada a partir das políticas de segurança. Conforme o diagnóstico, intervenções imediatas são executadas para evitar o ataque. É nesse contexto que vale a pena analisar o valor de plataformas de segurança distribuídas. A base de tudo é uma infraestrutura planetária baseada em Inteligência Artificial (IA) e Machine Learning (ML) que antecipa novas ameaças e tentativas de violação, automatizando a proteção do negócio. Cientistas de dados atuam 24×7 para refinar os diagnósticos da plataforma e preparar as organizações para a próxima onda de ataques.
Nada disso produzirá os resultados esperados, no entanto, se a organização não avançar em seus processos internos.
Red Team e Blue Team
Em 2024, a defesa dos Apps e APIs levará mais empresas a apostar em times de cybersecurity organizados em dois grupos: o Red Team e o Blue Team. Isso acontecerá tanto por meio de contratações internas como por meio da escolha de um MSSP que conte com profissionais com esses dois perfis. A meta é trazer para dentro de casa as disputas da arena global de cyber segurança. Os dois times respondem ao Chief Information Security Officer (CISO) e atuam de forma complementar.
O Red Team é formado por profissionais de segurança que atuam como atacantes, trabalhando 24×7 para simular os mais criativos e inesperados ataques contra as aplicações e as APIs empresa para a qual trabalham. Uma das certificações mais valorizadas pelo mercado para o Red Team é a CEH (Certified Ethical Hacker).
O Blue Team, por outro lado, é uma equipe mais tradicional, formada por profissionais com certificações como CIH (Certified Incident Handler), entre outros títulos. Nessa equipe, alguns dos cargos mais frequentes nas empresas são Cybersecurity Analyst, Cybersecurity Specialist e Cybersecurity Engineer
Pesquisa de dezembro de 2023 da consultoria em RH e treinamento QuickStart, dos EUA, indica que profissionais em um dos cargos do Red Team – Penetration Tester – ganham, ao ano, valores na faixa de 75 mil dólares (cerca de R$ 375.000,00 ao ano). Há casos, no entanto, de pessoas que chegam a fazer 116 mil dólares ao ano. Segundo outra consultoria norte-americana de RH e treinamento, a Intellectual Point, o cargo “Information Security Analyst” (ISA) – posição típica do Blue Team – está na mesma faixa de rendimentos. Esses valores variam de acordo com os anos de experiência e a formação dos profissionais do Blue Team e do Red Team.
Fim de uma era
Em 2024, a defesa da organização depende de estratégias como a organização do Red Team e do Blue Team e de investimentos contínuos no treinamento em cybersecurity de colaboradores e usuários.
Quanto às aplicações e APIs, esses ativos da empresa seguirão se expandindo. Uma das razões para isso é a monetização das APIs, fonte de riqueza para quem oferece um serviço de dados de alto nível.
Toda essa expansão exige, no entanto, um novo mind set dos Boards das organizações. Fica no passado a era das tecnologias de segurança que entregam controle mas prejudicam a experiência do usuário. Na economia de dados, a cyber segurança eficaz acelera os negócios, acelera o Brasil.
*Andrew Oteiza é Solutions Engineer Manager da F5 Latam.