Combate a fraude de apropriação indébita de conta com segurança de API em tempo real

À medida que as organizações lidam com a realidade dos incidentes de segurança baseados em API , muitas buscam abordagens simples e práticas para se antecipar às ameaças sem destruir seus fluxos de trabalho operacionais. Eles perguntam: "Quais medidas estamos tomando para analisar o tráfego da API, detectar bots e abusos e impedir acesso não autorizado que pode resultar em fraude ou roubo de dados?"

Recentemente, vários desenvolvedores de aplicativos e especialistas em segurança se juntaram à F5 e ao Google Cloud para uma conversa focada em impedir a ameaça de invasão de contas que pode causar estragos nas inúmeras APIs de seus aplicativos.

Este webinar — Acabe com a ameaça de aquisição de contas — participe da conversa sobre segurança de API — foi criado para ajudar as equipes de DevOps e InfoSec a unir forças para enfrentar esses desafios de segurança de API com sucesso. Tópicos incluídos:

• O cenário atual de ameaças direcionadas às APIs
• Por que as técnicas de detecção de bots legadas se tornaram ineficazes
• Formas de mitigar potenciais danos à marca e à reputação

Se você não pôde comparecer à sessão ao vivo, não se preocupe; você pode conferir alguns dos destaques nesta postagem do blog e também acessar a gravação sob demanda .

À medida que a conversa se desenrolava, nosso painel compartilhou como as APIs podem criar riscos de segurança e o que as organizações podem fazer para evitar invasões de contas baseadas em APIs. Eles enfatizaram que a superfície de ataque digital se expandiu exponencialmente devido ao grande número de APIs em uso atualmente, e muitas organizações simplesmente não têm a visibilidade necessária para uma proteção eficaz. Para obter visibilidade adequada, nossos especialistas incentivaram as organizações a responder às seguintes perguntas:

• Quais APIs existem em nosso ambiente?
• Quais recursos podem ser acessados por essas APIs?
• Quem utiliza as APIs?
• Quais vulnerabilidades comerciais específicas são expostas por essas APIs?

Para combater efetivamente as ameaças cibernéticas habilitadas por API , as organizações devem descobrir as melhores maneiras para que suas equipes de DevOps, InfoSec e negócios se unam para implementar proteções antes que os criminosos tenham sucesso em suas tentativas de assumir o controle das contas dos usuários. Um programa de segurança cibernética eficaz requer uma estratégia abrangente que inclua as ferramentas e inteligência certas, um plano multifuncional robusto, colaboração eficaz da equipe, a capacidade de avaliar e medir o progresso e a postura, e a confiança para relatar honestamente à liderança e à organização como um todo como a estratégia está funcionando.

Para melhorar as defesas, nossos especialistas recomendam adicionar proteções durante o desenvolvimento e a entrega de aplicativos e incorporar monitoramento em tempo real após a entrega, o que permite que as equipes respondam rapidamente antes que algo terrível aconteça. Essa abordagem abrangente e multicamadas permite a captura escalável de uma mistura de tráfego de rede multinuvem e dados de aplicativos e APIs distribuídos, ao mesmo tempo em que discerne automaticamente comportamentos e atividades bons e ruins.

Em última análise, a segurança da API se resume a obter a melhor visibilidade possível e ter inteligência de execução em tempo real para lidar adequadamente com cada cenário.

As discussões realizadas durante o webinar destacaram que muitos especialistas em DevOps e InfoSec já entendem a importância da segurança da API e reconhecem o valor de equilibrar uma experiência do cliente sem atritos com proteção avançada contra aquisição de contas automatizada por bots. Mas, embora o reconhecimento exista, muitos ainda lutam para encontrar maneiras eficazes e escaláveis de enfrentar esses desafios.

Para abordar essas dificuldades, o painel apresentou alguns casos de uso e estudos de caso destacando as melhores práticas para comunicação com as principais partes interessadas responsáveis por proteger o crescimento impulsionado por aplicativos que suas organizações esperam. Essas táticas incluem fazer perguntas estratégicas e direcionadas, como:

Desenvolvimento de aplicações: Como você está protegendo APIs contra ataques de apropriação de conta atualmente? Como você garante que as APIs não exponham dados do cliente ou criem riscos de conformidade?

Operações de Segurança: Você tem visibilidade completa de quais contas podem ser vulneráveis? Você consegue monitorar o tráfego da API em busca de sinais de abuso ou comprometimento?

Operações de rede: Como você está protegendo o tráfego de API em sua infraestrutura de rede? Você tem preocupações sobre bots ou scripts maliciosos que abusam de APIs?

Gestão Empresarial: A segurança da conta é essencial para manter a confiança do cliente e evitar perdas de receita decorrentes de transações fraudulentas. Quais métricas você está monitorando em relação às violações?

A maioria das ameaças baseadas em API agora são automatizadas, adaptando-se rapidamente às mudanças dinâmicas no ambiente e evoluindo para se tornarem ainda mais inteligentes em contornar proteções e evitar a detecção. A segurança eficaz da API depende da capacidade de uma organização de integrar proteções avançadas e automatizadas em seu pipeline de integração/entrega contínua (CI/CD), operações, infraestrutura e fluxos de trabalho sem introduzir atrito no processo de entrega ou na experiência do usuário.

O Google Cloud e a F5 têm as soluções e a experiência para ajudar as organizações a combater a fraude de apropriação indébita de contas de forma unificada em todos os ambientes: data centers, nuvens e arquiteturas. As proteções de API de tempo de execução em tempo real facilitam a união das equipes de DevOps e InfoSec para:

• Descubra automaticamente endpoints mapeados para aplicativos
• Defina e aplique listas de permissão ou listas de negação para conexões indesejadas
• Analisar telemetria de rede, dispositivo e ambiente
• Detecte comportamento anômalo em tempo real

Convidamos você a aprender sobre os desafios de segurança de API que outros enfrentaram e as soluções que eles empregaram acessando a gravação completa sob demanda do webinar, Thwart the Account Takeover Menace – Join the API Security Conversation . Estamos confiantes de que você encontrará respostas para muitas de suas perguntas sobre suas próprias medidas de proteção contra invasão de conta ao tentar definir e implementar um programa de segurança de API mais eficaz.

Caso você tenha alguma dúvida adicional, ficaremos felizes em conversar com você. Entre em contato com um dos especialistas em proteção de API da nossa equipe F5 Distributed Cloud e experimente o simulador F5 Distributed Cloud Web App and API Protection (WAAP) aqui: https://simulator.f5.com/s/waap