Adicionando IA generativa como ferramenta de proteção de API

Aug 26, 2023

Home » Security Boulevard (Original) » Adicionando IA generativa como uma ferramenta de proteção de API

O mundo da segurança está nos estágios iniciais de descobrir a melhor forma de usar a IA generativa para melhorar a segurança cibernética – ao mesmo tempo que se defende dela como um vetor de ameaça emergente.

Veja a segurança da API, por exemplo. Em um artigo recente do Security Boulevard, Bill Doerrfeld argumentou que a IA generativa será uma ameaça à segurança da API. Uma preocupação é que a IA generativa possa ser usada para abusar de APIs, escreveu Doerrfeld, devido à grande superfície de ataque. Muitas organizações agora implantam centenas de APIs, que já apresentam problemas de visibilidade. Os invasores sabem que as organizações lutam para proteger suas APIs, dando-lhes a oportunidade de intervir e usar a IA para encontrar vulnerabilidades.

“Além disso, a IA generativa poderia ser usada para comprometer credenciais de várias maneiras”, escreveu Doerrfeld, acrescentando que a IA generativa poderia ser usada para detectar padrões para descobrir senhas ou para preenchimento de credenciais.

Essas ameaças à segurança devem ser abordadas mais cedo ou mais tarde. No entanto, assim como os agentes de ameaças estão descobrindo maneiras de usar IA generativa para lançar ataques contra APIs, os pesquisadores de segurança estão desenvolvendo maneiras de usar a mesma tecnologia para proteger APIs.

“IA generativa é claramente a palavra da moda hoje em muitos campos, incluindo segurança”, disse Subbu Iyer, vice-presidente de gerenciamento de produtos da Cequence Security, em um webinar recente. Mas a tecnologia pode ser usada para automatizar o que antes eram tarefas manuais e para testar a segurança da API.

Antes de começar a aplicar a IA generativa como uma solução de segurança para APIs, você precisa ter um bom entendimento do que é necessário para a proteção de APIs. Iyer explicou que uma abordagem unificada de proteção de API é baseada em três pilares: descoberta, que envolve aprender e classificar a aparência da superfície de ataque de sua API, conformidade, que envolve observar a postura de segurança das APIs e garantir que estejam em conformidade com as melhores práticas de segurança e proteção. , o que significa monitorar o tráfego que chega às APIs e bloquear possíveis ataques.

Infelizmente, a proteção da API está quebrada em muitas organizações. “Você ficaria surpreso ao descobrir quantas APIs descobrimos que são completamente autônomas e expostas publicamente e expondo dados de clientes”, disse Iyer.

Encontrar vulnerabilidades em APIs requer testes de segurança de aplicativos, mas como Iyer apontou em uma postagem no blog, é muito desafiador “gerar casos de teste personalizados para os aplicativos que estão sendo testados, para que suas funcionalidades de negócios relevantes possam ser testadas antes de liberá-los para produção”.

É aqui que a IA generativa se torna uma ferramenta útil de segurança de API. Você pode pedir ao aplicativo generativo de IA para fazer coisas que, de outra forma, exigiriam uma enorme quantidade de trabalho manual, explicou Iyer.

Por exemplo, a Cequence criou casos de uso generativos de IA em torno de testes de segurança de API usando um modo inteligente que cria testes automaticamente com base no tipo de API. Com a IA generativa, você pode reunir os casos de teste certos para cada um dos endpoints da API no aplicativo, disse Iyer.

“Isso eliminará horas e semanas de trabalho que seriam exigidas do engenheiro de segurança para construir esse caso de teste ou plano de teste manualmente”, disse Iyer.

Para o bem ou para o mal, a IA generativa vai mudar a segurança. A segurança da API já é complicada devido à sua complexidade e ao grande volume de APIs usadas em uma organização. Se a IA generativa puder automatizar etapas para procurar vulnerabilidades potenciais e melhorar os testes, será um passo positivo.