BLOG

Deslocamento para a esquerda: Um divisor de águas para a segurança da API FinServ

Miniatura de Chad Davis
Chade Davis
Publicado em 14 de agosto de 2024

As APIs agora são mais essenciais do que nunca, principalmente para organizações de serviços financeiros que dependem delas para lidar com pagamentos de transações diárias para correntistas, para facilitar aberturas de contas on-line e muito mais.

Além disso, com um ecossistema de serviços financeiros em constante evolução, onde parcerias com FinTechs por meio de APIs são comuns, o uso de APIs está crescendo substancialmente no setor . Consequentemente, as instituições de serviços financeiros dependem mais das APIs do que nunca.

No entanto, essa crescente dependência de APIs atraiu a atenção de invasores.

Reconhecendo o papel crítico que essas APIs desempenham, os invasores estão constantemente atacando-as, tentando explorá-las, abusar delas e comprometê-las para obter acesso aos sistemas e exfiltrar dados críticos. A complexidade e os desafios de gerenciamento de ambientes híbridos e multicloud são agravados pela dependência exclusiva de ferramentas tradicionais de segurança de aplicativos e APIs para descoberta e inspeção baseadas em tráfego, o que fornece apenas uma imagem parcial e descoberta de APIs somente depois que elas são implantadas na produção.

Esses cenários representam sérios riscos comerciais, incluindo violações de dados em larga escala, problemas de conformidade e pesadas multas regulatórias. Mas as organizações de serviços financeiros devem aceitar esses riscos porque seus clientes exigem engajamento rápido, visualização completa das contas e transferências de dinheiro fáceis. Nos bastidores, tudo isso é facilitado por APIs.

Neste artigo, nos aprofundamos nas vantagens transformadoras da mudança para a esquerda para serviços financeiros que operam em ambientes híbridos e multinuvem e explicamos por que isso representa o próximo marco significativo na segurança da API FinServ. Por meio da descoberta antecipada diretamente da base de código, compreensão abrangente e documentação preventiva, as organizações podem fortalecer suas defesas, fechar lacunas críticas na visibilidade, melhorar os controles, satisfazer a conformidade e os reguladores e definir um novo padrão para segurança de API em um setor onde os riscos são extremamente altos.

O que é deslocamento para a esquerda e por que é importante?

A ideia de "mudança para a esquerda" no paradigma de segurança não é apenas uma tendência; está se tornando uma necessidade para garantir proteção robusta e gerenciamento de riscos, especialmente para APIs, pois elas mudam com mais frequência do que os aplicativos da web tradicionais e novos aplicativos estão sendo adicionados em um ritmo muito mais rápido.

Simplificando, ao focar apenas em controles de segurança tradicionais, como análise de tráfego em linha, as organizações se veem incapazes de ver e entender as vulnerabilidades em toda a sua superfície de ataque. Isso deixa as organizações vulneráveis, e em nenhum lugar isso é mais evidente do que no âmbito das APIs em serviços financeiros, onde pontos cegos podem significar desastre. Vulnerabilidades e fraquezas são sempre mais difíceis e caras de corrigir na produção, e qualquer alteração no código pode potencialmente introduzir riscos adicionais.

A importância da estratégia “shift-left” vai além da simples integração de novas tecnologias — trata-se de uma transformação fundamental na forma de abordar a segurança da API desde o início do ciclo de desenvolvimento.

Ao iniciar a descoberta e garantir a precisão da documentação desde a fase de codificação, as organizações obtêm uma visão mais completa do seu cenário de API. Essa postura proativa permite testes, detecção precoce e resolução imediata por meio de regras, controles e políticas relacionadas a potenciais vulnerabilidades durante a produção. Isso cria uma base sólida à medida que os aplicativos avançam para a produção, sem atrasar os desenvolvedores. Posteriormente, o próximo lançamento ou versão pode ter código atualizado que aborda a vulnerabilidade no nível do código. Os desenvolvedores, sem dúvida, adotariam a automação de processos de inventário e documentação para que pudessem se concentrar no próximo recurso interessante que pode mudar o mundo.

Quais são as principais vantagens de adotar uma estratégia shift-left?

Os benefícios de adotar uma perspectiva de mudança para a esquerda são inúmeros. Ele permite que as equipes entrem em produção com uma melhor compreensão de suas APIs e melhor postura de segurança, munidas de documentação mais completa e quaisquer políticas de segurança preventivas em vigor para lidar com quaisquer vulnerabilidades identificadas nos testes. Essa descoberta do código serve como um ponto de partida para as organizações, facilitando a identificação de anomalias e APIs zumbis e sombras desconhecidas ou obsoletas, além de detectar desvios quando movidos para a produção, tudo isso sem precisar "aprender na hora" (por exemplo, na produção).

Em comparação com a abordagem reativa de reunir insights sem documentação inicial, a mudança para a esquerda garante que as organizações estejam vários passos à frente e prontas para enfrentar os desafios de segurança de frente.

Outros benefícios incluem:

  • Limitar a exposição de vulnerabilidades na produção
  • Melhorando a documentação e a compreensão das APIs
  • Promover práticas de codificação seguras para reforçar/melhorar o código da API ao longo do tempo
  • Reduzir os desafios com a integração de ferramentas empregando um ciclo contínuo de avaliação e correção de riscos

Novas ferramentas a serem consideradas para detecção precoce de vulnerabilidades em uma estratégia de mudança para a esquerda

Gerenciar soluções de segurança para aplicativos e APIs já representa uma tarefa assustadora para muitas organizações. De fato, um relatório recente do Datos Insights patrocinado pela F5 descobriu que mais de 80 provedores de soluções operavam somente no espaço de segurança de API, e que a organização média usa mais de 20.000 APIs!

Como resultado, as organizações geralmente usam uma colcha de retalhos de tecnologias de vários fornecedores para proteger aplicativos e APIs, transformando efetivamente a segurança da API em segurança da cadeia de suprimentos. Com isso em mente, aqui estão algumas considerações sobre o que procurar em uma solução “shift-left” para segurança de API:

  • Descoberta em nível de código por meio de recursos de digitalização, reconhecimento e teste, permitindo a detecção antecipada de CVEs e riscos de API no código
  • Respostas de segurança inteligentes e automatizadas — alimentadas por IA generativa
  • Criação e validação automática de esquemas de API robustos
  • Iluminação perspicaz dos riscos da API com inteligência acionável
  • Segurança de API de ciclo de vida completo — aproveitando uma solução que faz parte de um portfólio mais amplo de segurança de aplicativos e API e recursos de entrega em todo o ciclo de vida de desenvolvimento do aplicativo

As táticas voltadas para o futuro no cerne da abordagem shift-left permitem uma identificação mais rápida e precisa de discrepâncias, APIs paralelas e outros problemas. Esse método é muito superior às abordagens ad hoc que podem omitir documentação ou não ter uma compreensão abrangente desde o início.

Adotar a estratégia shift-left com as tecnologias certas em vigor não apenas melhora a segurança, mas também simplifica todo o ciclo de vida do desenvolvimento para que tanto as equipes de aplicação quanto as de risco ganhem, tornando-se uma prática essencial para organizações de serviços financeiros com visão de futuro.

Saiba mais sobre como a mudança para a esquerda pode ajudar sua organização.

Este blog compartilha conteúdo selecionado com peças adicionais focadas em outros setores da indústria.