Estudo revela que as equipes de segurança percebem o impacto das crescentes ameaças às APIs

O aumento nos incidentes de segurança de APIs são é surpreendente. Pense nisso desta forma: como os funcionários de qualquer empresa, as APIs têm um trabalho a fazer, isto é, trocar rapidamente dados entre as tecnologias digitais. Esse trabalho é importante: as APIs permitem que clientes e parceiros obtenham os serviços de que precisam. Mas o trabalho também é de alto risco porque, ao contrário dos funcionários, as APIs lidam com dados confidenciais com pouca ou nenhuma supervisão. 

Muitas APIs vivem nas sombras porque foram criadas sem o conhecimento do departamento central de TI de uma organização, por isso, frequentemente não são detectadas pelas ferramentas de segurança tradicionais. As equipes de segurança muitas vezes não têm visibilidade dos riscos às APIs, até mesmo àquelas das quais possam ter conhecimento.

O Estudo sobre o impacto da segurança de APIs de 2024 revela que apenas 27% dos entrevistados que acreditam ter um inventário completo de APIs sabem quais delas retornam dados confidenciais, ou seja, abaixo dos 40% do ano passado. Além disso, há uma desconexão entre funções: embora 43% dos CIOs pesquisados acreditem saber quais APIs retornam dados confidenciais, apenas 17% dos CISOs compartilham essa visão.

Não há como proteger o que não se pode ver. E essa falta de visibilidade é preocupante quando se considera que:

• 108 bilhões de ataques a APIs foram registrados de janeiro de 2023 a junho de 2024, de acordo com um recente relatório State of the Internet (SOTI) da Akamai

• Uma API comprometida é suficiente para que haja um roubo significativo de dados, resultando em danos à receita e multas previstas na legislação

O que essas descobertas nos dizem? Qualquer forma de ataque causa preocupação. Mas há um tipo específico de estresse que surge ao lidar com um vetor de ataque que parece desconhecido. Muitas organizações estão se atualizando sobre as complexidades dos riscos a APIs. Além disso, a pressão sentida após um ataque a API apenas aumenta quando os líderes seniores perguntam: como isso aconteceu?

Felizmente, a maioria das equipes de segurança está engajada e aumentando seu conhecimento sobre como os ataques a APIs ocorrem. A maioria também está ciente de que as ferramentas comumente usadas para proteger APIs não são mais suficientes. Os entrevistados citaram as principais causas dos incidentes de API que vivenciaram, e suas respostas refletiram uma combinação de:

• Ferramentas que não são projetadas para visualizar ou proteger grande parte dos patrimônios de API que não são gerenciados e, portanto, não podem capturar incidentes fora de sua visão limitada

• Vulnerabilidades citadas no OWASP Top 10 API Security Risks, como erros de codificação feita às pressas e controles de autenticação ausentes

As atuais ameaças às APIs exigem estratégias e soluções radicadas em quatro áreas-chave:

• Descoberta de APIs

• Gerenciamento de postura

• Proteção de tempo de execução

• Teste de segurança

Maior visibilidade: ilumine as sombras, especificamente APIs que muitas vezes ficam sem gerenciamento e com acesso irrestrito aos dados. Procure ferramentas que tenham uma abordagem automatizada para descobrir APIs. Analise APIs quanto aos riscos e documente-as em um inventário abrangente.

Fortaleça a postura de segurança: obtenha clareza sobre o comportamento normal versus atípico de APIs, enquanto ganha visibilidade sobre os tipos de alerta comuns, o que permite às organizações detectar proativamente sinais de um ataque. Use os insights para reduzir riscos, definir prioridades e fortalecer a estratégia de segurança de APIs.

Veja e proteja em tempo de execução: integre uma solução de segurança de APIs abrangente com uma pilha de segurança existente (por exemplo, com firewalls de aplicativos da Web ou ferramentas de segurança de APIs e aplicativos da Web ), que permita aos usuários identificar o comportamento de alto risco e bloquear o tráfego suspeito antes que ele acesse recursos essenciais.