Com mais de 10 mil APIs, empresas falham na proteção deste ativo, aponta estudo

Segundo pesquisa SOAS 2024, 41% das organizações contam com pelo menos o mesmo número de APIs (Application Programming Interfaces) e aplicações. Disseminação de plataformas como ChatGPT torna o quadro ainda mais desafiador, já que a base da IA são APIs usadas para compartilhar e consumir dados de terceiros

Compartilhar:

A F5 anunciou as descobertas do estudo State of Application Strategy 2024 . Este relatório foi construído a partir de entrevistas com 700 CIOs e CISOs de todo o mundo, incluindo 28 do Brasil. Pela primeira vez deste que essa pesquisa começou a ser feita, em 2014, descobriu-se que 41% das organizações contam com pelo menos o mesmo número de aplicações e APIs (Application Programming Interfaces).

 

As empresas analisadas têm um faturamento anual que fica entre 200 milhões e mais de 10 bilhões de dólares. Este segmento – com organizações que faturam o equivalente a R$ 50 bilhões – utiliza, em média, 1013 aplicações. Trata-se de plataformas como o Internet Banking dos grandes bancos, o engine dos maiores portais de e-commerce do Brasil, ou os principais portais de e-Gov.

 

“O que surpreende é que, neste porte de empresas, o número de APIs (Application Programming Interfaces) supera em muito o de aplicações. Esse mercado trabalha, em média, com 1394 APIs”, diz Roberto Ricossa, Vice-Presidente da F5 LATAM.

 

No caso das empresas que ficam entre 1 e 10 bilhões de dólares a proporção é 453 APIs para 150 aplicações. Até mesmo empresas que esbarram no faturamento de 200 milhões de dólares contam, hoje, com um grande número de APIs: 293. “Vale destacar que, entre o universo de usuários das soluções F5 de proteção de aplicações e APIs, encontramos as maiores empresas do mundo. Essas organizações lidam, hoje, com mais de 10 mil APIs”.

 

Falta de visibilidade e Shadow APIs

Tudo indica que a proliferação de APIs seguirá se expandindo em 2024 e o desafio de proteger essas linguagens críticas, também. “Hoje é praticamente inviável realizar negócios digitais sem consumir e publicar APIs”, observa Hilmar Becker, Diretor Regional da F5 Brasil. “Ecossistemas como Open Finance, a disseminação das SuperApps e a conexão 24×7 entre aplicações de empresas diferentes explicam essa dependência”.

 

Essa evolução está acontecendo de forma desordenada, com as organizações primeiramente consumindo e publicando APIs para, somente num segundo momento, endereçarem o desafio de proteger essas linguagens. “Há situações em que, de cada 10 empresas usuárias de APIs, somente uma mapeou e autenticou suas APIs, tendo clareza sobre quais APIs são lícitas, quais são Shadow APIs e devem ser expulsas da esteira de desenvolvimento”.

 

O quadro fica ainda mais desafiador quando se compreende que o funcionamento de plataformas de IA como o ChatGPT é baseado em Large Language Models (LLM); Esta linguagem utiliza APIs para compartilhar e consumir dados estruturados e não estruturados com terceiros.

 

O estudo SOAS 2024 revela, ainda, que aproximadamente 90% das organizações utilizam a nuvem híbrida. 38% dos entrevistados, em especial, afirmam implementar suas aplicações e API em até seis nuvens. “Essa realidade aumenta a complexidade da gestão de um ambiente baseado em nuvens completamente diferentes uma da outra.

 

Desde a operação até o billing, tudo muda de nuvem para nuvem. Isso amplia a vulnerabilidade a ataques e dificulta a proteção deste todo”, explica Kleython Kell, Solutions Engineer da F5 Brasil. Em 2023, somente 20% dos entrevistados trabalhavam com até 6 ambiente diferentes, incluindo sites on-premises, Edge Computing e nuvens públicas.

 

Desafios de gestão, otimização e segurança em multicloud

Numa resposta de múltipla escolha, os líderes entrevistados afirmaram que a adoção do modelo multicloud traz problemas de gestão (34%), dificulta a migração de aplicações entre múltiplas nuvens (32%), afeta a otimização da performance (31%) e, finalmente, impede a adoção de políticas de segurança de forma consistente em todas as nuvens (31%).

 

Finalmente, o estudo SOAS 2024 analisa os ganhos que tecnologias de cybersecurity baseadas em Inteligência Artificial (IA) estão trazendo para os CISOs. Numa resposta de múltipla escolha, 35% adotam essa estratégia para ajustar automaticamente as políticas de segurança e gerar novas configurações de defesa para enfrentar ameaças detectadas.

 

29% dizem que a IA está melhorando a eficácia de soluções para detectar e neutralizar, de forma preditiva, ameaças. 19% exploram a IA para construir análises para o Board sobre ataques digitais. 17% usam a linguagem natural da IA para explorar e analisar dados estruturados e não estruturados sobre cybersecurity.

 

Para Kell, uma solução possível para tantos e novos desafios é a adoção de uma plataforma de proteção de aplicações e APIs que provê uma visão centralizada dos diversos ativos digitais em ambiente multinuvem. “Com o F5 Distributed Cloud Services, IA, ML e análise comportamental atuam na escala de milhões de transações por segundo e com a máxima performance, de modo a preservar a UX do consumidor. Essa plataforma roda na nuvem global da F5, garantindo baixa latência onde quer que esteja implementada a aplicação”.

 

“O gestor opera uma única interface, com a certeza de que atingirá a granularidade que for necessária para analisar cada incidente, cada elemento da nuvem, cada API. Mais do que tecnologia, trata-se de uma inteligência que conta com um time de cientistas de dados que trabalha 24×7 para proteger os dados que sustentam a vida de países, empresas e pessoas”, encerra o executivo.

 

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...