A Salt Security, empresa líder em segurança de API, revelou hoje as conclusões do seu Relatório sobre o Estado da Segurança de API do Salt Labs, 2024. A pesquisa, que analisou respostas de 250 profissionais de TI e segurança, combinadas com dados empíricos anônimos de clientes da Salt, destaca a falta de maturidade na segurança de API e na governança de postura em diversas as organizações, levando a um aumento nos incidentes de segurança de API e no tráfego de ataques.
A pesquisa revelou que quase todos os entrevistados (95%) experimentaram problemas de segurança nas APIs de produção, com 23% sofrendo violações como resultado de inadequações de segurança. O volume de APIs dentro das organizações também está acelerando, com dados de clientes da Salt mostrando um aumento de 167% na contagem de APIs nos últimos 12 meses, e com quase dois terços (66%) dos entrevistados da pesquisa indicando que estão gerenciando mais de 100 APIs. O aumento do uso das APIs corresponde a um aumento da superfície de ataque, o que eleva a atividade criminosa.
O relatório de 2024 também destaca a contínua falta de maturidade na segurança das APIs. Apenas 7,5% das organizações consideram seus programas de segurança de API como “avançados” e, o que é alarmante, mais de um terço (37%) dos entrevistados que têm APIs em produção não contam com uma estratégia de segurança de API ativa em vigor. Apesar disso, quase metade (46%) dos entrevistados afirmou que a segurança das API é uma discussão de nível executivo dentro de suas organizações.
De acordo com a pesquisa, as estratégias de governança de postura das API, que fornecem uma estrutura para gerenciar e proteger este ecossistema, desde o design até a implantação, também permanecem um fenômeno relativamente novo. Apenas 10% das organizações atualmente possuem uma estratégia de governança de postura de API em vigor. No entanto, percebendo sua importância crítica, quase metade (47%) planeja executar tal estratégia nos próximos 12 meses. Ao implementar um mecanismo robusto de governança de postura, as organizações podem obter uma completa visibilidade de seu cenário de APIs, eliminar pontos cegos e estabelecer padrões e regulamentos de segurança corporativos em todo o ecossistema de APIs.
“O volume de APIs dentro das organizações não mostra sinais de declínio e as equipes de segurança estão lutando para acompanhar a ampla extensão e a profundidade dos modernos ecossistemas de APIs”, disse Roey Eliyahu, cofundador e CEO da Salt Security.
“Como ilustrado pelos resultados de nossa pesquisa, os invasores continuam a tirar proveito disso, explorando os pontos fracos dentro das APIs para executar ataques maliciosos e obter acesso a dados das empresas e dos clientes. Com os maus atores refinando constantemente suas táticas para lançar ataques de API de forma discreta, muitas vezes por meios legítimos, isso exige que as organizações adotem uma abordagem mais sofisticada para proteger as APIs. Uma abordagem que englobe elevadas capacidades de descoberta de API, uma estratégia de governança de postura e a capacidade de detectar de forma rápida e eficiente as ameaças ativas e o tráfego mal-intencionado nas APIs.”
A ameaça de ataques às APIs está crescendo
A pesquisa revelou que os incidentes de segurança de API estão aumentando. Os incidentes de segurança de API mais do que dobraram nos últimos 12 meses, com 37% dos entrevistados experimentando um incidente, em comparação com apenas 17% em 2023.
A análise de dados de clientes pela Salt Labs descobriu que os invasores estão usando uma gama diversificada de táticas, com uma parcela significativa ignorando os protocolos de autenticação. Quase dois terços (61%) dos ataques não são autenticados.nAs APIs internas também são vulneráveis, com 13% das tentativas de ataque sendo explicitamente direcionadas a elas.
APIs zumbis seguem uma das principais preocupações entre os entrevistados
Eles expressaram altos níveis de preocupação com os riscos potenciais associados às APIs Zumbis, aquelas desatualizadas e esquecidas dentro dos ecossistemas. 70% destacam as APIs Zumbis como uma grande ou forte preocupação, um crescimento expressivo em relação aos 54% registrados em 2023. A tomada de conta e a negação de serviço são, respectivamente, a segunda e a terceira maior preocupação.
A descoberta de API continua sendo um desafio
A descoberta de API foi destacada como um obstáculo contínuo para muitas organizações. Apenas 58% das organizações têm processos em vigor para descobrir APIs em toda a sua infraestrutura. Menos de 15% dos entrevistados estão muito confiantes de que entendem quais APIs expõem informações de identificação pessoal (PII).
Os métodos tradicionais são insuficientes para proteger contra ataques modernos
Apenas 21% dos entrevistados acreditam que suas abordagens atuais de segurança de APIs são eficazes na proteção contra ataques de APIs, sinalizando problemas com os métodos existentes. Gateways de API (54%), análise de arquivos de log (45%) e firewalls de aplicativos Web (WAFs) (42%) são as ferramentas mais comuns que as organizações estão utilizando para detectar e prevenir atividades maliciosas de APIs, mas elas continuam sendo insuficientes e não têm a confiança do usuário.
As atualizações de API ocorrem com mais frequência
A rápida evolução das APIs, combinada com o uso crescente de APIs geradas por IA, tornou obsoletos os métodos tradicionais de documentação. Mais de um terço das organizações atualiza suas APIs pelo menos uma vez por semana (38%), e uma parcela significativa (13%) faz atualizações diárias. Apenas 12% dos entrevistados se sentem muito confiantes na precisão de seu inventário de APIs, destacando uma falta generalizada de confiança na postura de segurança.
Os atacantes estão seguindo o Top 10 do OWASP
Um grande porcentual dos ataques às API tem como alvo vulnerabilidades de segurança bem conhecidas, descritas na lista OWASP API Security Top 10. 80% das tentativas de ataque utilizam um ou mais dos 10 principais métodos descritos na lista. Apesar dessa base de conhecimento estabelecida, apenas 58% das organizações priorizam a proteção contra as ameaças de API descritas pelo OWASP.
Sobre o estudo
O Relatório sobre o Estado da Segurança de API 2024 foi compilado por pesquisadores da Salt Labs, divisão de pesquisa da Salt Security, utilizando dados de pesquisa de quase 250 entrevistados em uma ampla variedade de responsabilidades de trabalho, setores e tamanhos de empresas, globalmente. 20% dos entrevistados eram líderes de segurança ou TI de nível executivo e outros 18% integravam equipes de plataforma ou DevOps.
As empresas de tecnologia e serviços financeiros – amplamente vistas como a vanguarda do uso de APIs – abrigaram 37% dos entrevistados. Empresas grandes e pequenas foram igualmente representadas. O relatório também inclui dados de tentativa de ataque a APIs da plataforma de proteção de APIs da Salt Security. Esses dados de clientes são anonimizados, agregados e, em seguida, analisados pelos pesquisadores da Salt para identificar tendências críticas que podem auxiliar a educar a indústria de segurança em geral.