Roberto Ricossa revela insights valiosos sobre os desafios e estratégias de segurança cibernética no setor financeiro em relação à segurança de aplicações
O Crypto ID, referência em conteúdo técnico, notícias e análises sobre segurança cibernética, teve o prazer de entrevistar Roberto Ricossa, Vice-Presidente da F5 LATAM, para aprofundar as discussões sobre o relatório “State of Application Strategy Financial Services Edition“.
Este estudo, que contou com a participação de 700 líderes de cybersecurity globais, incluindo 25 brasileiros, revela insights valiosos sobre os desafios e estratégias de segurança cibernética no setor financeiro em relação à segurança de aplicações.
A crescente adoção de Inteligência Artificial (IA) no setor financeiro, com 67% dos bancos e fintechs já utilizando aplicações baseadas em IA, e a complexidade dos ambientes digitais, com a coexistência de diferentes gerações de tecnologias e a migração de aplicações entre nuvens e ambientes on-premises,demandam uma atenção redobrada à segurança.
O relatório da F5 aponta que 70% dos entrevistados consideram inadmissível implementar uma aplicação sem recursos de segurança, o que evidencia a importância do tema para o setor.
A entrevista com o executivo da F5 visa explorar em detalhes as descobertas do relatório, com foco em como as instituições financeiras podem mitigar os riscos e desafios apontados.
Nosso público, composto por CISOs em busca de soluções de cibersegurança, terá a oportunidade de aprofundar seus conhecimentos sobre as melhores práticas e estratégias para proteger suas aplicações e dados em um cenário de constante evolução tecnológica e de ameaças.
Leia entrevista na íntegra!
Crypto ID: O relatório da F5 revela que 67% dos bancos e fintechs já utilizam aplicações baseadas em IA. Quais são os principais desafios de segurança cibernética no setor financeiro específicos para esse tipo de aplicação e como as soluções da F5 podem auxiliar na mitigação desses riscos?
Roberto Ricossa: Uma das principais vulnerabilidades das aplicações baseadas em IA é o uso extensivo de APIs (Application Programming Interfaces). Simplesmente não existe aplicação moderna baseada em IA que não utilize pesadamente as APIs para entregar os resultados de negócios exigidos pela instituição financeira.
A lista de vulnerabilidades presentes nas APIs é grande:
Shadow APIs – As empresas que não contam com um inventário das APIs homologadas para uso dos desenvolvedores abrem espaço para o consumo sem controle de “Shadow APIs”. A adoção das Shadow APIs – linguagens prontas disponíveis no mercado, mas sem credenciais de controle e de segurança –, facilita o trabalho do desenvolvedor, profissionais muito pressionados para cumprir as metas de entrega da aplicação. Uma forma de superar esse desafio é contar com soluções automatizadas que atualizam o inventário de APIs e bloqueiam o uso de Shadow APIs. Essa abordagem tem de acompanhar toda a esteira de desenvolvimento.
APIs “órfãs” – Se os gestores não souberem quem é o responsável pela API, não é possível identificar quem procurar no caso de problemas com esta linguagem. É uma terra de ninguém – é comum que as APIs sejam consumidas sem a preocupação em checar sua origem, sua idoneidade etc. Soluções que automatizam o controle sobre as APIs constroem um inventário em que a “propriedade” sobre a API é estabelecida claramente.
Controles de segurança impostos ao final da esteira atrasam projetos – Boa parte das APIs é alvo de tentativas de ataques. Ainda assim, muitas organizações realizam os testes de segurança da API somente ao final do processo de desenvolvimento. Volta-se a etapa zero porque os responsáveis pela API não seguiram as melhores práticas de proteção destas linguagens ao longo da esteira de desenvolvimento. Além da mudança de cultura, é recomendável utilizar soluções para defender as APIs dos ataques listados no OWASP API Top 10.
Não saber onde roda a API – A boa administração deste universo exige que se possua um mapa (infográfico) com a localização da API. Há casos em que o desenvolvedor, para cumprir prazos, realiza a chamada de uma API da nuvem AWS para a nuvem Azure – com isso, uma API desenvolvida originalmente para rodar em um ambiente passa a rodar, de forma precária, em outra nuvem. A grande disseminação do modelo multinuvem no Brasil torna esse quadro ainda mais dramático. O gestor pode perder a visibilidade sobre esses ambientes. Outro problema surgido desta falha é que se torna mais difícil configurar políticas de segurança e testar o grau de proteção das APIs. Uma API rodando em lugares diferentes irá exigir proteções diferentes.
A documentação da API está desatualizada – É comum que profissionais de TI fujam dos processos de documentação. Uma documentação sobre APIs desatualizada é um dos maiores sintomas de um ambiente sem controle. O ritmo de desenvolvimento e consumo de APIs é tal que o processo de documentação fica esquecido, dando margem a várias falhas futuras. Uma forma de contornar esse quadro é contar com soluções alinhadas ao padrão OpenAPI Specification, que gera automaticamente as novas versões de documentação de APIs.
Múltiplas APIs servem para a mesma tarefa – Uma das formas mais conhecidas de se cobrar pelo consumo de uma API é por meio de métricas que acusam quantas chamadas aconteceram. Seja para não pagar este custo, seja porque prefere desenvolver de forma manual sua própria API para resolver uma demanda, muitos desenvolvedores constroem novas APIs que se sobrepõem a APIs já existentes. Essa realidade pode multiplicar o caos.
Além das APIs, outra frente de batalha diz respeito à esteira de desenvolvimento das aplicações do banco.
A velocidade e precisão dos atacantes é tal que não é mais possível realizar checagens de segurança ao final do processo de desenvolvimento. O mercado conta com soluções que suportam o trabalho do desenvolvedor, preservando a velocidade de entrega de código de forma alinhada às melhores práticas de cybersecurity.
Crypto ID: O estudo aponta que 70% dos entrevistados consideram inadmissível implementar uma aplicação sem segurança. Como as instituições financeiras podem garantir a segurança cibernética no setor financeiro de suas aplicações em um ambiente complexo e distribuído, com a coexistência de diferentes gerações de tecnologias e a migração de aplicações entre nuvens e ambientes on-premises?
Roberto Ricossa: Esse é um dos maiores desafios dos CIOs e CISOs das empresas. Durante anos buscou-se solucionar esse problema por meio da aquisição de dezenas de soluções diferentes de cybersecurity. Cada oferta tinha o foco num ambiente e numa tarefa. Isso exige da organização financeira times numerosos, com capacitações variadas. A falta de integração entre essas “n” plataformas, por outro lado, obrigava os profissionais do banco a realizar ações manuais para fechar diagnósticos e implementar correções.
Neste modelo, é comum que o gestor “afunde” num mar de alertas que inviabiliza a produtividade e a eficácia do time de cybersecurity.
Uma forma de contornar esse quadro é utilizar uma plataforma de Security as a Service global, baseada em análises planetárias sobre ameaças atuais e futuros e com a capacidade de atuar sobre todas as nuvens e todos os tipos de ambientes.
Neste formato, o CISO passa a interagir com uma única interface de uma única aplicação que, conforme o caso, vai realizando análises e ações cada vez mais granulares, independentemente da complexidade do ambiente usuário. O uso intensivo de IA e ML nesse tipo de plataforma permite que o time de profissionais antecipe e corrija de forma automatizada inclusive ameaças zero day.
No caso dos ambientes multinuvem, essa plataforma integra a gestão e a proteção de todas, garantindo que os vários workloads da aplicação de missão crítica estejam protegidos, onde quer que estejam rodando.
Crypto ID: A pesquisa da F5 destaca a repatriação de aplicações para ambientes on-premises como uma tendência no setor financeiro. Quais são os principais motivadores dessa decisão e como as empresas podem garantir a segurança dessas aplicações em ambientes privados?
Roberto Ricossa: A complexidade de gestão e proteção dos ambientes multinuvem surpreendeu alguns gestores, que acabaram decidindo repatriar para seus ambientes privados aplicações de missão crítica. A razão por trás desse movimento é aumentar o controle – inclusive de custos – sobre essa infraestrutura.
Até mesmo bancos nativos digitais estão fazendo essas análises, e repatriando algumas aplicações que sempre rodaram em multinuvem.
Por outro lado, o consumo da nuvem só aumenta – não existe aplicação de IA que dispense esses ambientes de alta densidade de dados.
Então, é comum encontrarmos empresas usuárias de todos os setores, incluindo o financeiro, que simultaneamente repatriam aplicações e contratam mais recursos de nuvens públicas.
Nós, da F5, contamos com clientes de finanças que mantém simultaneamente seu ambiente de nuvem privada e várias nuvens públicas. Os CISOs dessas empresas utilizam nossa solução F5 Distributed Cloud Services para ganhar controle sobre todos os ambientes a partir de uma única interface.
A proteção dos vários workloads da aplicação é determinada de forma centralizada e implementada – com o auxílio da IA e da ML, de forma totalmente automatizada – nas várias nuvens usadas pela empresa. Isso é feito de forma granular, permitindo a análise do que está se passando em bases muito sólidas.
Crypto ID: O relatório revela que o número de APIs no setor financeiro chega a 601, em comparação com 554 aplicações. Qual o impacto dessa proliferação de APIs na segurança cibernética no setor financeiro e como as soluções da F5 podem auxiliar na proteção dessas interfaces?
Roberto Ricossa: Acreditamos que essa nova proporção seguirá valendo nos próximos anos. Como comentamos na resposta 1, são muitas as vulnerabilidades trazidas pelas APIs para a esteira de desenvolvimento das grandes aplicações de Internet Banking.
Embora as melhores práticas de desenvolvimento e proteção de APIs prevejam o uso de soluções de cybersecurity ao longo de toda a esteira de desenvolvimento, isso nem sempre acontece. Em muitos casos, o foco é na velocidade de desenvolvimento e na escala de deployment das APIs.
O desenvolvedor tem a tentação de usar um motor de IA para criar parte do código sem, no entanto, fazer uma análise detalhada das vulnerabilidades desta linguagem.
Nosso estudo sobre o setor financeiro aponta que, quando perguntados sobre que estratégias usam para proteger suas APIs, 61% dos gestores do setor financeiro concentram-se na autenticação e autorização das linguagens a serem usadas em suas esteiras de desenvolvimento.
API Discovery é usada por 45% e scanning para identificar dados maliciosos, 41%. A detecção de comportamentos anômalos da API é realizada por 39% do universo pesquisado, mesmo índice que quem se foca em mitigar as 10 principais vulnerabilidades de APIs listadas no OWASP.
Acreditamos que uma forma de reforçar a segurança das APIs é contar com uma plataforma de cybersecurity que realiza todas essas etapas, construindo um mapa das APIs consumidas pelo banco.
Com o F5 Distributed Cloud Services fica fácil, por exemplo, escanear um domínio da Internet e identificar quais APIs estão lá dentro. É possível, também, analisar o repositório de código das aplicações e, a partir daí, verificar quais APIs estão sendo chamadas por esse tipo de código.
Para economizar o headcount do banco ou da fintech, isso é feito de forma automatizada e com auxílio de IA e ML (Machine Learning). A meta é acelerar os negócios com a máxima segurança.
Crypto ID: A pesquisa da F5 aponta para a preocupação dos bancos com a entrega da melhor experiência do usuário, o que influencia na escolha de onde implementar um workload. Como as instituições financeiras podem equilibrar a busca pela melhor UX com a necessidade de garantir a segurança cibernética no setor financeiro de suas aplicações?
Roberto Ricossa: A UX entregue ao correntista bancário é um dos KPIs mais estratégicos para o setor financeiro. A UX é baseada em “n” fatores, dos que dependem somente do banco aos relativos à infraestrutura digital do usuário em sua casa, sem esquecer os serviços de Telecom que integram esses dois polos. O próprio desenvolvimento da aplicação é feito a partir de metas para melhorar a experiência do usuário.
Quem ainda vê esse contexto como uma oposição entre UX e segurança não está familiarizado com plataformas que integram de forma absoluta a preservação da UX em escala – e escala de milhões de transações por segundo – com a máxima segurança.
Plataformas como o F5 Distributed Cloud Services atuam de forma preventiva e corretiva – numa abordagem completamente automatizada e baseada em IA e ML – para enfrentar ataques digitais e, ao mesmo tempo, preservar a experiência do usuário.
Acredito que a integração entre a melhor UX e a melhor cybersecurity é algo ao alcance dos gestores. Vale destacar, em paralelo, a proximidade cada vez maior entre os times de infraestrutura (tradicionalmente responsáveis pela performance) e de cybersecurity (os defensores do ambiente).
Até mesmo nos times de desenvolvimento de Apps financeiros tenho visto uma maior proximidade entre os líderes desta área e do setor de segurança digital.
Crypto ID: O estudo destaca a falta de talentos como um dos desafios enfrentados pelos líderes de cybersecurity. Como as plataformas de Security as a Service podem auxiliar na mitigação desse problema e quais são os principais benefícios que elas oferecem de segurança cibernética no setor financeiro ?
Roberto Ricossa: Bancos que utilizam plataformas de Security as Service recebem o que há de mais avançado em IA e ML aplicado à proteção das aplicações e APIs críticas para o negócio. Essa entrega é reforçada pela experiência de cientistas de dados que atuam 24×7 no monitoramento da Internet global, identificando novas ameaças e implementando vacinas e correções.
No setor financeiro, onde os times de cybersecurity são extensos e muitas vezes organizados em Blue Team (os profissionais de defesa) e Red Team (experts empenhados em gerar ataques), trata-se de somar aos talentos internos a visão de quem luta contra o crime digital numa escala global.
A disputa por profissionais experientes pode levar a vazios no time do banco.
Quem conta com uma oferta como o F5 Distributed Cloud Services tem a garantia de que o serviço de segurança é entregue 24×7 de forma contínua. Trata-se de um SLA muito severo que visa sustentar os processos de negócios do banco, mesmo que o time do cliente passe por mudanças.
Crypto ID: O relatório da F5 revela que 50% dos entrevistados adotam plataformas de Security as a Service para resolver os desafios de patches e atualizações. Qual o papel da automação baseada em IA e ML na segurança cibernética no setor financeiro de aplicações e como as soluções da F5 podem auxiliar nesse sentido?
Roberto Ricossa: A escala das grandes aplicações de Internet Banking do nosso país é tal que não há mais espaço para ações manuais de defesa e correção do ambiente.
Estamos falando de milhões de transações por segundo – quadro agudizado em períodos como Dia das Mães e Natal.
Somente a inteligência artificial e o aprendizado de máquina conseguem mapear tudo o que está se passando nos “n” ambientes onde rodam os workloads da aplicação e das APIs do banco e, a partir daí, agir de forma preditiva e automatizada para reforçar a resiliência do negócio.
É isso que faz o F5 Distributed Cloud Services. Por rodar na nuvem global da F5, essa plataforma não tem limites de carga. Qualquer que seja a demanda de negócios e de processamento de dados da organização financeira, a plataforma atua para identificar e corrigir vulnerabilidades, bloquear ataques e também contribuir para o desenvolvimento de aplicações seguras.
A API que será consumida também será checada e rechecada antes de que os dados dessa linguagem sejam inseridos na esteira de desenvolvimento do Internet Banking.
Crypto ID: A pesquisa da F5 aponta que 50% dos entrevistados enxergam nas plataformas de Security as a Service uma forma de resolver o desafio de falta de soluções ou processos para enfrentar ataques zero day. Como as soluções da F5 podem auxiliar na detecção e mitigação de ameaças desconhecidas e quais são os principais diferenciais da empresa nesse aspecto?
Roberto Ricossa: O segredo é estar vários passos à frente dos atacantes. Para que isso aconteça, dados globais têm de ser processados em milissegundos, usando IA e ML para identificar novos padrões de ataques.
Trata-se de uma missão sem tréguas em que, por exemplo, comportamentos suspeitos no acesso a um banco em Singapura podem indicar um padrão de ataque sendo desenhado. Imediatamente a inteligência da plataforma F5 Distributed Cloud Services, somada à experiência dos cientistas de dados que operam esse serviço, realiza experimentos e testes até identificar – também em milissegundos – que, de fato, é uma nova ameaça que se delineia.
A agilidade da plataforma é tal que, além de identificar, criar a documentação e gerar alertas contra a nova ameaça, o F5 Distributed Cloud Services imediatamente começa a trabalhar em correções que, implementadas, podem impedir que a violação aconteça.
Crypto ID: O relatório da F5 destaca a importância da autenticação e autorização para a proteção de APIs. Quais são as melhores práticas para garantir a segurança das APIs e como as soluções da F5 podem auxiliar nesse sentido?
Roberto Ricossa: Por favor, ver resposta 4.
Crypto ID: A pesquisa da F5 revela que 45% dos gestores do setor financeiro utilizam API Discovery para proteger suas APIs. Qual a importância dessa prática e como as soluções da F5 podem auxiliar na identificação e proteção de APIs expostas?
Roberto Ricossa: O time da F5 Brasil busca acompanhar a vida real das empresas que dependem de negócios digitais para operar. 10 entre 10 vezes, quando implementamos o API Discovery em um cliente durante, por exemplo, um processo de trial, percebemos a surpresa do gestor com a quantidade e a variedade de APIs utilizadas em suas esteiras de desenvolvimento.
Para ser eficaz, a disciplina de API Discovery não pode ter fronteiras nem ser limitada, por exemplo, por tipo de nuvem ou linguagem de desenvolvimento.
A verdade é que ainda estamos no início da maturidade de consumo e publicação de APIs. O resultado deste quadro é que grande parte das empresas não tem domínio sobre a origem, a documentação e a segurança das APIs que estão sendo usadas em seus sistemas.
Com o API Discovery, um forte foco de luz é lançado neste universo. Isso serve de base para a empresa realizar um mapeamento impecável de suas APIs e automatizar o bloqueio de linguagens que trarão vulnerabilidades a aplicações tão críticas como um Internet Banking.
Entrevista com diretor da NVIDIA sobre o futuro da Inteligência Artificial (IA)
A Inteligência Artificial no Direito: Uma Conversa com Klaus Riffel CEO da doc9
Entrevista com diretor de comunicações do BityBank sobre criptomoedas e o futuro do mercado
Em entrevista exclusiva, Heitor Pires apresenta o Syn, o certificado digital em nuvem da Syngular ID
Assista e leia outras entrevistas feitas pelo Crypto ID. Você vai gostar muito. Acesse a coluna de Entrevistas e ID Talks!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
