0
0
Os provedores de serviços financeiros, como bancos e empresas de cartão de crédito, usam uma grande quantidade de APIs, o que os torna um alvo atraente para atores de ameaças. É por isso que a segurança da API é essencial no mundo dos negócios em rápida mudança das instituições financeiras.
Em um podcast com a L7 Defense, Sandy Carielli, analista principal da Forrester Research, apresentou os últimos números. Uma pesquisa recente mostrou que 28% dos entrevistados que trabalham no setor de serviços financeiros estão fazendo da melhoria de sua segurança de aplicativos uma prioridade máxima.
No espaço de serviços financeiros, 70% dos entrevistados já estão em fase de adoção, e 16% planejam fazê-lo dentro de 12 meses. A segurança da API é adotada em diferentes estágios do ciclo de vida com uma quantidade justa em testes de desenvolvimento e produção.
Com a transformação digital, os bancos precisam compartilhar suas APIs com, por exemplo, empresas FinTech. Isso, combinado com os requisitos regulatórios, requer não apenas uma mentalidade diferente, mas basicamente uma reescrita de seu DNA de 100 anos. Eles precisam se adaptar à nova realidade de que qualquer API vulnerável, ciclo DevOp falho ou atividade maliciosa podem resultar em uma violação. Embora muitas instituições financeiras estejam cientes da necessidade de segurança da API para apoiar sua nova realidade corporativa, elas realmente não sabem como abordá-la e, especialmente, com quais ferramentas. Muitas organizações ainda estão tentando aprender isso.
Em um nível técnico, a ideia é ter uma solução unificada. Como Tomer Nuri, CEO & Founder do The Cyber Edge, declarou: “Como as APIs impulsionam tantos eventos cibernéticos, veremos a segurança da API como parte da principal defesa cibernética, mas o mercado ainda precisa recuperar o acompanhamento. As APIs estão construindo blocos. Isso mudou o foco de segurança de todo o aplicativo (incluindo a API) para as próprias APIs.
No domínio de segurança da API, as organizações financeiras estão procurando ferramentas que lidem com todo o ciclo de vida. Além disso, as instituições financeiras são obrigadas a cumprir regulamentos muito rigorosos. Isso torna as APIs um grande negócio, uma vez que muitas vezes são negligenciadas no processo. Há muitas APIs que foram desenvolvidas e até passaram por um processo poc para então serem abandonadas e esquecidas. Como Robert Wines II, CISO da NewWave, apontou: “Uma vez que as APIs são muitas vezes esquecidas. Métricas são necessárias para poder afirmar com confiança que todos os aspectos e componentes, incluindo APIs, são seguros.”
Isso significa olhar atentamente para cada API no contexto para entender o que ela faz. Grandes quantidades de APIs são desenvolvidas por diferentes desenvolvedores, equipes diferentes, para diferentes propósitos, o que levanta preocupações de controle de segurança. “Se eles não são consistentes, temos buracos”, apontou Colin Jaccino, especialista em API & Security da EPAM Systems. É por isso que as ferramentas do lado do produtor estão se unindo com a segurança sendo integrada ao processo e engajada em um nível mais profundo.
Quando falamos de confiança zero, isso significa que “Apenas por causa de sua localização ou seu título particular, isso não significa que confiemos em você, pura e simples.” Ferramentas de segurança baseadas em comportamento, heurísticas, são preferidas em vez das baseadas em assinaturas, uma vez que oferecem um nível mais alto de segurança. Uma solução de segurança de API não deve ser uma extensão de outra solução de segurança (como uma solução WAF), mas precisa ser uma parte integrada do arsenal de cibersegurança.
Atualmente, a segurança da API ainda é, em certa medida, a Wild, Wild, West com novas abordagens e novas soluções aparecendo. O tipo de segurança de API que uma organização financeira implantará depende do seu nível de maturidade de segurança cibernética da API, da expertise interna, da gama de usuários de API e das soluções de segurança cibernética já em vigor.
Instituições financeiras, sua equipe de segurança e autoridades reguladoras estão alcançando a segurança da API, tornando-se uma prioridade para cobrir todo o ciclo de desenvolvimento da API. Com o aumento dos níveis de ameaças, os provedores de segurança da API, como o L7 Defense, fornecem a tecnologia certa e oferecem para permitir que as instituições financeiras identifiquem e atenuem as ameaças à segurança cibernética destinadas à sua organização.
Para saber mais sobre a segurança da API, entre em contato conosco em info@l7defense.com. Para assistir ao podcast completo API Security em um mundo de negócios em rápida mudança, clique aqui.
Neste podcast, organizado pela Forrester Research e L7 Defense, um painel de especialistas, composto por Sandy Carielli, Analista Principal da Forrester Research, Yisrael Gross, Co-fundador da API Security na L7 Defense, Colin Jaccino, Especialista em API & Segurança na EPAM Systems, Robert Wines II, CISO na NewWave, e Tomer Nuri, CEO & Founder na The Cyber Edge, discutiu a API Security em um mundo de negócios em rápida mudança.
FONTE: HELPNET SECURITY