Programado para coincidir com a conferência anual de segurança cibernética da RSA, o Google Cloud anunciou atualizações para a Apigee, seu serviço de análise preditiva e gerenciamento de API, projetado para ajudar a prevenir ataques de lógica de negócios.
Os ataques de lógica de negócios são falhas no design e na implementação de um aplicativo que permitem que atores mal-intencionados provoquem um comportamento não intencional. Eles podem ser difíceis de identificar – e muito difundidos. De acordo com um estudo encomendado pela Silver Tail Systems, 90% das empresas perderam receita devido a ataques de lógica de negócios entre 2011 e 2012.
Para combater esses tipos de exploits, o Google está introduzindo novos modelos de aprendizado de máquina na Apigee que, segundo ele, foram treinados para detectar possíveis ataques de lógica de negócios. O Google Cloud afirma que os modelos – disponíveis para todos os clientes da Apigee Advanced API Security e treinados em dados internos do Google – são sensíveis o suficiente para detectar comportamentos sutis como um invasor com controle de um servidor mudando os “padrões de atividade” do referido servidor.
“Os modelos de aprendizado de máquina que alimentam a detecção de abuso de API foram treinados e usados pelas equipes internas do Google para proteger nossas APIs voltadas para o público”, disse Shelly Hershkovitz, gerente de produto do Google Cloud, em um post de blog. “Os modelos dependem de anos de aprendizado e melhores práticas.”
Juntamente com os modelos, a Apigee está apresentando painéis que identificam com mais precisão os abusos da API, encontrando padrões no grande número de alertas. Os painéis tentam “capturar a essência” dos ataques, como diz Hershkovitz, juntamente com características importantes como a origem dos ataques, o número de chamadas de API e a duração dos ataques.
“Com o crescimento do tráfego de API, as empresas em todo o mundo também estão experimentando um aumento nos ataques maliciosos de API, tornando a segurança de API uma prioridade elevada”, continuou Hershkovitz. “Estamos tornando mais rápido e fácil detectar incidentes de abuso de API.”
Créditos da imagem: Ligue para ele
Para o ponto de vista de Hershkovitz, é verdade que as preocupações com a segurança da API cresceram – e estão crescendo – na empresa. De acordo com uma pesquisa (embora conduzida por um fornecedor de segurança de API, transparência total), o final de 2022 registrou um grande aumento nos ataques de API, com um aumento de 400% no volume de apenas alguns meses antes.
Esses ataques podem ser caros. Uma análise da Imperva de quase 117.000 incidentes de segurança descobriu que a insegurança da API custa às organizações entre US$ 41 bilhões e US$ 75 bilhões anualmente. E um relatório separado do Open Worldwide Application Security Project sugere que as pequenas empresas enfrentam o maior número de eventos de segurança de API, com a maioria dos incidentes afetando empresas com menos de US$ 50 milhões em receita – tornando cada violação ainda mais prejudicial aos resultados.
A própria pesquisa do Google — que deve ser encarada com cautela — mostra que 50% das organizações sofreram um incidente de segurança de API nos últimos 12 meses; desses, 77% atrasaram o lançamento de um novo serviço ou aplicativo.
“É vital que as organizações detectem e mitiguem os incidentes de abuso de API com antecedência para evitar danos fiscais e reputacionais prolongados aos negócios”, disse Hershkovitz. “Incidentes de segurança de API são cada vez mais comuns e perturbadores.”