Cybersecurity e Boas Práticas

Segurança de API em aplicações críticas: uma Avaliação de Riscos com Open FAIR

No mundo digital de hoje, aplicações críticas desempenham um papel essencial em diversos setores, como saúde, finanças, defesa, infraestrutura e outros. Essas aplicações, muitas vezes orientadas porAPIs, facilitam a troca rápida e segura de dados sensíveis. Contudo, um ponto fraco na segurança daAPI pode levar a consequências devastadoras, desde interrupções de serviço a danos físicos, violações de dados ou fraudes financeiras. Assim, é preciso investir na segurança dasAPIs para garantir a integridade e a confiabilidade dos serviços.



Mas como podemos justificar quantitativamente esse investimento? Uma resposta está na aplicação do padrão Open FAIR (Factor Analysis of Information Risk), um modelo que fornece uma abordagem sistemática e quantitativa para a avaliação de riscos, permitindo calcular o risco de forma monetária e calcular o Retorno sobre o Investimento (ROI) desta melhoria em segurança.


A Importância da Segurança de API em Aplicações Críticas


AsAPIs tornaram-se a espinha dorsal da conectividade digital, permitindo a comunicação e a interoperabilidade entre diferentes sistemas e plataformas. Ao facilitar a troca de dados, viabilizam uma variedade de serviços e operações. No entanto, esta conectividade também traz riscos. Uma API insegura pode se tornar um ponto de entrada para ameaças cibernéticas, levando a consequências graves.


Alguns cenários em que a segurança da API é crucial podem incluir:


  1. Serviços Financeiros e Fintechs: Esses setores dependem muito de APIs para transações e troca de dados sensíveis. Uma violação de segurança aqui poderia resultar em roubo direto de dinheiro ou dados financeiros em larga escala.
  2. Saúde: Muitos aplicativos de saúde usam APIs para trocar informações médicas sensíveis. Uma violação pode comprometer os dados do paciente e resultar em violações de privacidade, com grandes multas potenciais sob leis como a LGPD.
  3. E-commerce: Plataformas de comércio eletrônico dependem de APIs para uma variedade de operações, incluindo processamento de pagamentos, gestão de inventário e atendimento de pedidos. Uma violação de segurança pode levar a perdas financeiras significativas através de fraudes de cartão de crédito, exposição de dados sensíveis do cliente e interrupções de serviço que prejudicam a reputação da marca e a confiança do cliente.
  4. Infraestrutura Crítica: Setores como energia, telecomunicações, transporte ou serviços públicos usam APIs para gerenciar sistemas e comunicar-se entre diferentes partes da infraestrutura. Uma violação aqui poderia causar fraudes, interrupções de serviço significativas ou danos físicos.


Pesquisas demonstram que estes ataques a APIs estão em ascensão. Relatórios recentes destacam por exemplo que em 2020, as APIs representaram 83% de todos os ataques de abuso de credenciais contra sites de comércio eletrônico. Em outro estudo sobre ameaças de aplicativos, números apontam que em 2021, os ataques a APIs ultrapassaram os ataques a interfaces de usuário pela primeira vez.


Exemplo de cálculo do Risco com o Open FAIR


Para demonstrar a aplicação do Open FAIR para cálculo quantititivo do risco, vamos considerar um cenário hipotético para a empresa "FinBank", que processa cerca de 10 milhões de transações por ano e tem uma receita anual de aproximadamente R$1 bilhão. Suponhamos que oFinBankesteja preocupado com a possibilidade de fraude através de ataques à sua API.





Para quantificar o risco, precisamos entender os fatores do FAIR como Frequência de Contato, Probabilidade de Ação, Vulnerabilidade, Frequência do Evento de Ameaça, Frequência do Evento de Perda e Magnitude de Perda.


Se assumirmos que o FinBank é alvo de 1.000 tentativas de ataque por dia (CF – Contact Frequency), e que cada tentativa tem uma probabilidade de 1% de ser bem sucedida (PoA – Probability of Action), então o TEF (Threat Event Frequency) é de 10 ameaças efetivas por dia, ou cerca de 3.650 por ano.


Agora, vamos assumir o nível de Vulnerabilidade (Vuln), considerando que apenas 5% dessas ameaças resultam em uma perda (ou seja, a empresa consegue evitar a perda em 95% dos casos), então o LEF (Loss Event Frequency) é de cerca de 182 eventos de perda por ano.


Finalmente, vamos calcular a Loss Magnitude (LM), assumindo que cada evento de perda resulta em uma média de R$ 10.000 em prejuízos, considerando perda de produtos e serviços, recursos de resposta, perda de clientes, de reputação e até mesmo multas e sanções legais. Então chegamos ao cálculo final do risco (ou da perda anual esperada - ALE, do inglês "Annual Loss Expectancy"), que é de cerca de R$ 1.820.000 (LEF * LM).


Calculando o Retorno Sobre Investimento (ROI) da Segurança




Agora, vamos considerar medidas para reduzir o risco, sendo que existem várias ferramentas e soluções que podem ajudar na segurança das APIs, cada uma visando diferentes aspectos.


Por exemplo:


  1. Web Application Firewalls (WAFs): Ferramentas que monitoram e filtram o tráfegoparaedeuma aplicação web, podendo identificar e bloquear ataques comuns à API, como injeção de SQL e Cross-Site Scripting (XSS), reduzindo a Vulnerabilidade e, consequentemente, a Frequência de Evento de Perda (LEF).
  2. API Gateways: Agem como um proxy para todas as APIs e fornecem recursos de segurança, como autenticação e autorização, limitação de taxa e proteção contra ataques de força bruta. Pode ajudar a reduzir a Frequência de Contato (CF) ao limitar as tentativas de acesso de Agentes de Ameaça.
  3. Ferramentas de análise de API: Podem identificar padrões de uso incomuns ou suspeitos da API e alertar sobre possíveis ameaças. Ao detectar e responder rapidamente a tais ameaças, a Probabilidade de Ação (PoA) pode ser reduzida.
  4. Ferramentas de teste de penetração (Pen Testing): Ferramentas que simulam ataques a uma API para identificar e corrigir vulnerabilidades antes que um invasor real possa explorá-las, reduzindo a Vulnerabilidade.
  5. Soluções de Gerenciamento de Identidade e Acesso (IAM): Ferramentas que controlam quem tem acesso a quê, muitas vezes com autenticação multifator (MFA) e gerenciamento de privilégios de acesso mínimo. Pode reduzir a CF e a PoA ao limitar o acesso apenas a usuários autorizados.
  6. Sistemas de Detecção e Prevenção de Intrusão (IDS/IPS): Soluções que monitoram o tráfego de rede para atividades suspeitas, bloqueando ou alertando sobre essas atividades, o que pode reduzir a CF e a PoA.


Para efeito do nosso exemplo, vamos supor que a implementação de alguma destas ferramentas custe R$ 500.000, e que a empresa estime que a solução possa reduzir a vulnerabilidade em 50%. Isso reduziria o LEF para cerca de 91 eventos de perda por ano, e o Risco para cerca de R$ 910.000.


Portanto, o investimento inicial de R$ 500.000 resultaria em uma economia de cerca de R$ 910.000 por ano, significando que a empresa recuperaria seu investimento em pouco mais de seis meses. Após o primeiro ano, a empresa estaria economizando dinheiro em comparação com a situação antes de implementar a solução. Essa é a essência do cálculo do ROI: comparar o custo do investimento com a economia resultante da redução do risco.


Conclusão


A segurança da API é crucial em aplicações críticas, incluindo o setor financeiro, saúde, varejo e infraestruturas críticas. O Open FAIR oferece uma abordagem estruturada e quantitativa para avaliar o risco e calcular o ROI de soluções de segurança de API. Com base em nossa análise, fica claro que o investimento traz benefícios significativos, não apenas em termos de redução de risco, mas também em termos de economia financeira.


Observação: Este é apenas um exemplo fictício. Os números e estimativas reais podem variar dependendo da natureza do negócio, do ambiente de risco, e de outros fatores.


Abraços e até a próxima,


Alberto Bastos

Gestão de Riscos
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato