Início » Blog » Estratégias de proteção contra bots maliciosos em APIs

Estratégias de proteção contra bots maliciosos em APIs

Toda tecnologia traz consigo a ampliação do campo de risco de ataques e, por consequência, cresce a necessidade de proteção cibernética dentro das organizações. Veja o caso dos bots, softwares originalmente criados para executar tarefas automatizadas em sites, plataformas e aplicações por meio de Interfaces de Programação de Aplicações (APIs), sem a necessidade de intervenção humana. 

A API é uma ferramenta com grande potencial de otimizar a operação e manter ou elevar a experiência e a satisfação dos diferentes usuários dos ambientes digitais. Figura, ainda, como um recurso eficiente e essencial para a comunicação entre aplicativos e serviços.

Sabendo que APIs são um caminho certeiro para dados confidenciais e que as empresas dependem dessa interface para criar experiências significativas para os clientes, os atacantes criaram os bad bots. E é sobre essa ameaça à segurança dos dados que vamos falar nesse artigo. 

Exemplos de usos eficientes do bot

Os good bots, ou seja, aqueles que operam em prol do negócio, têm sido responsáveis por facilitar e otimizar iniciativas digitais de organizações de todos os portes e segmentos com as mais variadas ações. Veja alguns exemplos de good bots que estão em atuação no mercado:

  • Assistente – que, por meio de Inteligência Artificial, entende o contexto de uma solicitação humana e executa uma atividade, assim como fazem a Alexa, a Siri e o Google Assistente);
  • Feed – mapeiam assuntos que estão em amplo debate na web para direcionais a composição de um determinado feed;
  • Direitos autorais – rastreia plataformas e sites em busca de músicas, textos, imagens e vídeos que são cópias das versões originais;
  • Chatbots – viabiliza a interação entre pessoas e softwares com diálogos e raciocínios muito semelhantes aos de um ser humano;
  • Comercial – analisa comportamentos, dados e notícias de consumidores e competidores de um determinado mercado;
  • Monitoramento de sites – monitoram métricas dos sites com capacidade para indicar possíveis inconsistências; e
  • Pesquisa – mapeia conteúdos na web e promove a indexação em motores de busca.

Principais técnicas de abuso de APIs por bad bots

Um bad bot pode se instalar em um sistema por meio de uma configuração equivocada da API ou pela ação intencional de um cibercriminoso. A presença dessa ameaça prejudica a operação e compromete a proteção cibernética pelo uso exagerado ou equivocado de determinadas funcionalidades. Tudo com uma grande malícia: capacidade de se passar por um usuário legítimo.

Em geral, os bad bots exploram as vulnerabilidades da lógica dos negócios por meio dos seguintes ataques:

  • Web Scraping – o bot malicioso faz a varredura de websites, furta informações importantes, sensíveis e confidenciais, aloca esses dados em um site fraudulento para que mecanismos de buscas indexem essa página em destaque, atraindo usuários para golpes de phishing;
  • DDoS – também conhecido como Ataque Distribuído de Negação de Serviço, consiste no direcionamento de um alto volume de requisições a um website para torná-lo indisponível;
  • Ataques de tomada de conta (ATO) – quando bad bots, por meio de dados roubados, força bruta e preenchimento de credenciais, assume uma conta bancária.
  • Comment Spam – é a ação de inserir conteúdos incorretos e não solicitados em um formulário legítimo de um site; e
  • Spamdexing – ação que altera a relevância de uma site diante da avaliação dos mecanismos de busca.

Dados de pesquisa importantes de serem considerados

De acordo com mapeamento da Imperva, 71% das atividades na web são realizadas via API. Os atacantes têm se mostrado propensos a invadir prioritariamente as operações de cinco setores: serviços financeiros, negócios, viagem, computação & TI e telecomunicações & ISPs.

Proteção cibernética: estratégias eficazes contra bots maliciosos

Quando o assunto é proteção cibernética, medidas proativas são sempre a melhor estratégia para garantir a disponibilidade, a integridade, o desempenho e a confiabilidade do ambiente digital. Em se tratando de bad bots, a atenção deve ser redobrada, tendo em vista que essa ameaça pode, facilmente, se passar por usuários legítimos.

Nesse contexto, uma cibersegurança eficiente deve contemplar diferentes frentes do cenário. Por isso, recomendamos as seguintes boas práticas:

  • mapeamento do comportamento padrão das APIs, seguido de acompanhamento desse desempenho, com planos de ação para picos de tráfego não esperado;
  • entendimento que gerenciamento de bot e segurança de API devem ser ações importantes e complementares;
  • capacitação e treinamento das equipes de TI e SI quanto a ameaças e vulnerabilidades;
  • conscientização de todos os colaboradores da empresa sobre os risco das Shadow APIs, ou seja, Interfaces de Programação de Aplicações implementadas sem o conhecimento e a supervisão das equipes de TI e SI da empresa;
  • elaboração de um plano robusto de ação para mitigar, conter, remediar e eliminar bots maliciosos;
  • mecanismos com regras rígidas de autenticação no acesso à API;
  • inventário permanente de APIs, endpoints, parâmetros e payloads;
  • gerenciamento seguro de credenciais e tokens.

Orientações especiais a marcas do comércio e do varejo

Vale lembrar que as organizações do comércio e do varejo são altamente suscetíveis a ataques de bad bots, principalmente em períodos sazonais das datas comemorativas, quando a expectativa é de aumento de vendas e de faturamento. Para garantir a proteção cibernética contra esses bots maliciosos, recomendamos:

  1. Conscientizar as equipes de TI e SI sobre a probabilidade de aumento dos ataques de negação de serviço (DoS) ou de negação de serviço distribuída (DDoS);
  2. Implementar a ferramenta WAF, que opera como um filtro de tráfego de dados e acessos relacionados a sites e aplicações específicas;
  3. Garantir alternativas na nuvem e backup de dados, caso algum servidor seja interrompido por ataque DDoS;
  4. Analisar se a landing page da campanha promocional tem vulnerabilidades e está apta a receber um alto tráfego;
  5. Determinar o que é considerado um tráfego normal na rede, para comparar com possíveis inconsistências;
  6. Revisar ou estruturar o Plano de Resposta de Negação de Serviço;
  7. Adquirir ferramentas de prevenção e detecção de fraude; e
  8. Usar balanceadores de carga e firewalls.

Para saber mais sobre como proteger sua empresa contra bots maliciosos e garantir a segurança de dados, fale com um dos especialistas da NovaRed. Clique e entre em contato.

Tópicos