Estudo da F5 revela como Cloud Computing e APIs se alimentam mutuamente e isso resulta em mais riscos
- Avanço da computação em nuvem (68% do mercado dos EUA em 2021) acelera a explosão de APIs, que devem chegar a 100 bilhões em 2030;
- APIs, Application Programming Interfaces, permitem que dados sejam trocados de forma automática entre aplicações de organizações diferentes entre si;
- Vulnerabilidade dessas linguagens é real: 91% das empresas norte-americanas sofreram violações de APIs;
- Brasil é alvo de ataques contra essas linguagens;
- Criminosos digitais violam as APIs utilizando diversas estratégias, como alteração de valores e parâmetros, manipulação do volume de acessos de modo a inviabilizar os negócios e se passar de forma fraudulenta por usuários legítimos – que pagam pelo consumo – de APIs;
- APIs das verticais de finanças e varejo são as mais visadas.
São Paulo, 27 de junho de 2022 – A F5, líder em soluções que garantem a segurança e a entrega de aplicações corporativas, anuncia as descobertas do estudo Explosão das APIs. O levantamento foi produzido pelos experts do F5 Labs. Sediado em Seattle, EUA, o F5 Labs é uma divisão da F5 Networks que atua 24×7 para identificar tendências e ameaças que atingem empresas do mundo todo; o conhecimento construído pelos experts do F5 Labs é disponibilizado gratuitamente no portal https://www.f5.com/labs. “Esse estudo mapeia o quanto a ‘Economia de APIs’ já é uma realidade e o que ainda falta fazer para adicionar maturidade e segurança a esse modelo”, destaca Beethovem Dias, Solutions Engineer da F5 Brasil.
As APIs (Application Programming Interfaces) são críticas para a economia digital. Quer os consumidores percebam ou não, Apps como Mercado Livre ou Decolar são baseados em parte em dados próprios, rodando em sua estrutura local ou na nuvem, e em parte em dados que chegam à aplicação por meio dessas linguagens. As APIs aceleram a realização de negócios por meio da troca automatizada de dados entre aplicações rodando em organizações diferentes entre si.
Os experts do F5 Labs estimam que, até 2030, o mundo contará com 100 bilhões de APIs e com 45 milhões de desenvolvedores.
Computação em nuvem e consumo de APIs avançam juntos
“O estudo da F5 ressalta a forte conexão entre o avanço da computação em nuvem e a explosão de APIs”, observa Dias. O desenvolvimento e o processamento de APIs acontece cada vez mais na nuvem, com grande número de desenvolvedores focados em grandes plataformas como Microsoft Azure, AWS e Google. Numa resposta de múltipla escolha, o estudo da F5 revela que nuvens públicas ou híbridas quase se equivalem ao uso de ambientes on-premises (nuvem privada). Enquanto 72% do mercado segue utilizando a nuvem privada, outros 68% adotam nuvens híbridas ou públicas e, finalmente, 15% já processam aplicações e APIs no Edge Computing (computação de borda).
“Os grandes fornecedores de nuvem pública investem continuamente na formação de desenvolvedores que dominem esses ambientes específicos. Chega-se a oferecer treinamento gratuito para os profissionais responsáveis por desenvolver aplicações e APIs”, diz Dias. “A velocidade de expansão da nuvem soma-se aos curtíssimos prazos de desenvolvimento de APIs”.
Nesse contexto, há o risco de que os cuidados com a segurança dessas linguagens não tenham sido incorporados à esteira de desenvolvimento. “É fundamental adicionar uma dimensão de segurança à construção das APIs, com a checagem de fatores como quem está compartilhando a API, quem está consumindo a API etc. É necessário que isso aconteça ao longo de todo o ciclo de desenvolvimento da API, não ao final do processo”.
Outra estratégia recomendada por Dias é investir na padronização das APIs. “Isso passa por construir a API a partir de parâmetros claros e seguros, que facilitem o consumo da API por terceiros. Vale a pena estudar, ainda, a possibilidade de concentrar o desenvolvimento de APIs em um único ambiente de nuvem”.
Providências como esta podem ajudar a reduzir o número de incidentes de segurança ligados ao consumo de APIs por empresas. O estudo revelou que, em 2020, 91% das empresas norte-americanas sofreram violações de APIs.
Incidentes de segurança com APIs são uma realidade no Brasil
Os incidentes de segurança com APIs são bastante variados. “Há organizações que acreditam que um alto índice de consumo das suas APIs é um sinal de sucesso nos negócios”, observa Dias. “Isso nem sempre é verdade. Em alguns casos, o alto volume de acesso às APIs, por exemplo, de uma empresa de e-commerce, pode mascarar a ação de um concorrente que cria gargalos no consumo da API e, com isso, prejudica as transações de negócios”.
Outro tipo de ataque foca-se nas APIs que, teoricamente, são só para leitura de dados: são linguagens que não permitem que o consumidor da API insira dados no sistema. “Se a API foi desenvolvida sem a correta metodologia de segurança, apresentando vulnerabilidades estruturais, o atacante pode alterar informação críticas sobre produtos ou ofertas da empresa”.
Uma terceira frente de batalha é a autenticação dos acessos de terceiros às APIs. “As APIs seguem sendo desenvolvidas com uma única meta em mente: serem disponibilizadas o mais rapidamente possível, gerando lucro para quem as criou”, ensina Dias. “O fato de serem um grande alvo para criminosos digitais, porém, está levando algumas empresas a utilizarem, ao longo do ciclo de vida da API, soluções de segurança que bloqueiam fraudes, identificando os sistemas que tentam acessar de forma ilícita os dados da API”. Dias explica que esses tipos de ataques contra APIs são frequentes na realidade brasileira, com foco primordial nas verticais de finanças e varejo.
Se dados são o novo petróleo, as APIs são o novo plástico
Para o System Engineer da F5 Brasil, a Economia de APIs brasileira ainda está em sua infância. Esse conceito criado pela consultoria Mckinsey projeta uma realidade em que empresas e pessoas estarão conectadas entre si por APIs, trocando dados em milissegundos, num padrão de automação muito avançado. “A explosão de APIs por todas as verticais, com dados se movendo de ambientes on-premises para ambientes públicos e vice-versa está acontecendo aqui e agora”, diz Dias. Uma parte expressiva dos incidentes de segurança de APIs ocorre não por ataques certeiros de hacker e, sim, por falhas ocorridas ao longo do ciclo de vida dessas linguagens. “Isso poderia ser resolvido com a disseminação da cultura de segurança além dos times Sec, atingindo também os profissionais de Dev e de NetOps”.
Ainda assim, o consumo de APIs pelas organizações é essencial para a reinvenção dos negócios. “O mesmo salto de modernidade que o Brasil viveu nos anos 50, quando o plástico, um dos subprodutos do petróleo, começou a se disseminar na nossa economia, está acontecendo agora”. Se o dado é o novo petróleo, APIs são o novo plástico, sendo a base de criação de produtos digitais que, sem o compartilhamento de dados, exigiriam altíssimos investimentos e prazos muito mais longos.
###
Sobre a F5
A F5 (NASDAQ: FFIV) oferece às empresas mais importantes do mundo, provedores de serviços, governos e marcas voltadas para o consumo a liberdade de fornecerem todas as aplicações de maneira segura, em qualquer lugar, e com a confiança de que precisam. A F5 cria uma camada de serviços para as aplicações que inclui criptografia e segurança e permite que as organizações adotem a infraestrutura de sua escolha sem sacrificar a velocidade e o controle. Para obter mais informações, acesse f5.com. Você também pode nos seguir em @f5_latam no Twitter ou nos visitar no LinkedIn, Facebook e Instagram para saber mais sobre a F5, seus parceiros e tecnologias. F5 e BIG-IP são marcas comerciais ou marcas de serviço da F5, Networks Inc. nos Estados Unidos e em outros países. Todos os outros nomes de produtos e empresas incluídos aqui podem ser marcas comerciais de seus respectivos proprietários.