API Security, Open API e Open Banking
Cláudio Maia, da Axway, e Douglas Barbosa, da Sec4You, vem ao Security Conference 2022 conversar sobre API Security, Open API e Open Banking.
Começam falando sobre o contexto e contextualização sobre Open APIs. Qual a importância delas no ambiente Open? O começo dos trabalhos normalmente são as APIs internas, APIs criadas dentro de empresas, com o foco nelas próprias. Os bancos e e-commerces exigiram uma evolução para Open APIs, onde terceiros poderiam consumir tais APIs.
O modelo do Open Banking precisa que todos os players se baseiem num mesmo padrão. Todos precisam fazer uso das APIs abertas.
Partem então para discutir quais os riscos desse sistema, onde estão os problemas que podem aparecer, elucidando a importância da Segurança para Open APIs.
Percebemos que os ataques a APIs não recebem tanta atenção da mídia e do mercado quanto, por exemplo, ataques de ransomware, o que cria uma dificuldade maior para todo o ecossistema. Entre outros dos maiores desafios para a segurança de API, como o volume de informação, ou desafios regulatórios. Falam também de vários aspectos técnicos e princípios de segurança já na etapa do design, e posturas de proteção das próprias APIs.
Abordam inclusive sobre o Caso Starbucks, onde um Ethical Hacker conseguiu acessar dados de clientes da empresa americana simplesmente explorando brechas internas das APIs, por conta de um WAF mal configurado.
Passam por algumas das melhores práticas de segurança de Open APIs, como a utilização de tokens em chamadas, evitar o uso de autorização a partir de API-KEYs, a criptografia nos canais, entre outros.
Finalmente, comentam sobre como o Open Banking está caminhando para Open Everything. O Open Banking é só a primeira etapa de um movimento muito maior. A liberdade de dados será muito maior, e em ecossistemas muito mais variados. Naturalmente, as APIs serão essenciais, assim como as preocupações sobre a segurança delas.
Não perca a palestra inteira acima!
Este artigo foi escrito por Claudio Maia e publicado originalmente em Prensa.li.