A adoção de uma segurança abrangente de API fica aquém da necessidade
De acordo com pesquisas recentes do SANS Institute, apesar de um aumento no número de ameaças direcionadas a aplicações e APIs, a maioria das empresas ainda não está usando controles específicos de API que ofereçam ampla cobertura.
Uma notável falta de ferramentas de teste de segurança de API
A pesquisa do SANS Institute de 2023 sobre segurança de API descobriu que menos de 50% dos entrevistados têm ferramentas de teste de segurança de APIs implementadas. Menos ainda têm ferramentas de descoberta de API (29%). Além disso, o relatório diz que aproveitar os controles de segurança de API que estão incluídos na negação de serviço distribuída (DDoS) e os serviços de balanceamento de carga são "uma área subutilizada": apenas 29% dos entrevistados relataram o uso desses recursos.
É uma tendência preocupante, considerando o aumento dos ataques. Conforme mostrado pela Akamai em seu recente relatório State of the Internet, Invasão pelas brechas na segurança: a ascensão de ataques a aplicativos e APIs, 2022 foi um ano recorde em ataques a aplicativos e APIs. Talvez a falta de adoção de ferramentas de API com cobertura abrangente não seja uma surpresa, no entanto, considerando o que os entrevistados da pesquisa do SANS Institute disseram acreditar ser os principais riscos de segurança para suas organizações.
O relatório, lançado em julho de 2023, entrevistou 231 participantes, a maioria nos Estados Unidos. Atualmente, setenta e oito por cento dos entrevistados desempenham um papel na segurança de aplicações, e outros 15% estão pensando em um envolvimento futuro.
Os riscos para API não são classificados
Quando solicitados a classificar os três principais riscos para sua organização, os entrevistados citaram "Phishing para obter credenciais reutilizáveis" com mais frequência, seguido por "Invasores que exploram patches ausentes" e "Invasores que exploram aplicações/APIs vulneráveis". Por fim, no ranking ponderado estavam "Servidores/serviços mal configurados". É claro que, embora as empresas entendam os riscos que as APIs podem apresentar, não priorizam os respectivos investimentos.
Vários controles e processos de segurança
"Descobrir, avaliar e mitigar riscos de API é um problema complexo que requer vários controles e processos de segurança para oferecer uma cobertura completa", escreve John Pescatore, diretor de tendências de segurança emergentes do SANS Institute, no relatório. "Ferramentas de nível de aplicação já em uso generalizado podem oferecer cobertura parcial. Controles específicos de segurança de API que propiciem cobertura total ainda não estão em uso generalizado."
Entender como e quantas APIs estão sendo executadas
O relatório do SANS Institute também sugere que as empresas estão fazendo um trabalho ruim até mesmo para entender quantas APIs estão sendo executadas em seus ambientes. Mais de dois terços dos entrevistados estimaram que a precisão de seu inventário de APIs em execução na produção estava abaixo de 75%.
Há anos que as empresas se esforçam para obter um inventário preciso de ativos, incluindo redes, computadores e aplicações. Elas precisam ter mais cuidado para entender onde e quantas APIs estão sendo executadas. O relatório diz: "...como as APIs vulneráveis estão se tornando o ponto de acesso mais comum para ataques, a precisão do inventário de APIs deve aumentar e a descoberta deve ser feita com mais frequência."
Os compradores estão procurando em várias direções pela segurança de API
Houve pouco consenso sobre a aquisição de novas ferramentas para fechar algumas dessas lacunas de segurança de API. Quando os entrevistados foram questionados sobre quais soluções, que não estão em uso atualmente, suas empresas planejam implementar nos próximos dois anos, as respostas incluíram uma ampla variedade de opções:
- Gateways da web seguros (14%)
- Teste dinâmico de vulnerabilidade da aplicação (13%)
- Firewalls de aplicações da Web (13%)
- Recursos de segurança de aplicações/APIs em redes de entrega de conteúdo (13%)
- Teste de segurança de API (12%)
- Descoberta de API (10%)
Com os compradores buscando tantas soluções diferentes para a segurança de aplicações e APIs, os fornecedores, como a Akamai, que podem oferecer soluções abrangentes se tornam muito mais atraentes. As empresas verão benefícios significativos se puderem acessar o gerenciamento de bots, firewalls de aplicações da Web e outros requisitos de um provedor que também conta com uma organização de serviços sólida que abrange várias disciplinas.
Detecção e tecnologia de resposta ampliadas
Além disso, o surgimento de novas tecnologias que utilizam detecção e resposta ampliadas (XDR) para oferecer visibilidade de todas as atividades de API, determinar a postura de risco e entender o comportamento normal e abusivo para impedir ameaças apresenta vantagens significativas de proteção de API.
A recente aquisição da Neosec pela Akamai favorece essa tendência. As empresas agora podem obter níveis sem precedentes de análise comportamental de API, combinando a análise de no mínimo 30 dias de atividade de API com a visibilidade fornecida pela rede de entrega de conteúdo da Akamai.
Os resultados da pesquisa do SANS Institute também apresentam um histórico interessante ao examinar o lançamento do novo relatório "Os 10 principais riscos de segurança de API do OWASP", que acrescentou vários novos riscos à sua lista, incluindo consumo irrestrito de recursos e consumo inseguro de APIs.
Acordo sobre frameworks
Por falar em OWASP: A pesquisa sugeriu algum acordo sobre as estruturas que os profissionais de segurança consideram valiosas. Mais da metade dos entrevistados citaram "Os 10 principais riscos de segurança para aplicações da Web do OWASP", (55%), a estrutura de MITRE ATT&CK (55%), e "Os 10 principais riscos de segurança de API do OWASP" (52%) como métodos usados para definir riscos de aplicações/APIs. A Cloud Security Alliance (40%) e o Center for Internet Security Critical Security Controls (33%) arredondaram os cinco pontos principais.
O treinamento de segurança do desenvolvedor continua sendo uma prioridade
O relatório também descobriu que, em geral, as empresas continuam concentradas em fornecer treinamento de segurança aos desenvolvedores: Mais de 75% das organizações relataram fornecer treinamento de segurança à equipe de desenvolvimento. Por outro lado, o relatório também constatou que mais de 70% dos entrevistados informaram que oferecem treinamento em segurança de aplicativos a pelo menos 25% de sua equipe de segurança.
Visibilidade e defesa
O Akamai App & API Protector oferece uma solução abrangente de aplicações e APIs para proteção de aplicações e firewall da Web, gerenciamento de bots, segurança de API e proteção contra DDoS, proporcionando às empresas visibilidade das ameaças em seu próprio ambiente, além de fortes defesas. A solução identifica rapidamente as vulnerabilidades e mitiga as ameaças em toda a Web e API, mesmo para as arquiteturas distribuídas mais complexas.
