A Radware anunciou seu relatório State of API Security 2022, conduzida pela Enterprise Management Associates, revelou uma falsa sensação de segurança entre as organizações quando se trata de proteção de APIs. A pesquisa inclui respostas de CIOs, CTOs, Vice-presidentes e Diretores de TI de organizações globais da América do Norte, EMEA e APAC.
De acordo com a pesquisa, o uso de APIs está em alta: 92% das organizações pesquisadas aumentaram significativamente seu uso de APIs, com 59% já executando a maioria de suas aplicações na nuvem. Além disso, quase 97% das organizações usam APIs para comunicações entre cargas de trabalho e sistemas, destacando a crescente dependência de APIs nas operações comerciais diárias.
Enquanto 92% dos entrevistados acreditam ter proteção adequada para suas APIs, e 70% acreditam ter visibilidade sobre as aplicações que estão processando dados confidenciais, 62% admitem que um terço ou mais de suas APIs não estão documentadas. APIs não documentadas deixam as organizações vulneráveis a ameaças cibernéticas, como exposições de bancos de dados, violações de dados e ataques scraping.
“Para muitas companhias há, inequivocamente, uma falsa sensação de segurança, de que elas estão adequadamente protegidas contra ataques cibernéticos. Na realidade, elas têm lacunas significativas na proteção de APIs desconhecidas e não documentadas”, comentou Gabi Malka, Chief Operations Officer e Chefe de Pesquisa e Desenvolvimento da Radware.
Ataques de bot continuam a ser uma ameaça
Quase um terço das empresas (32%) entrevistadas afirmaram que os ataques automatizados de bots são uma das ameaças mais comuns às APIs. Em termos de detectar um ataque de API, 29% dizem confiar em alertas de um gateway de API e 21% confiam em firewalls de aplicação web (WAF).
O executivo acrescenta: “os dados da pesquisa indicam que a proteção de APIs não está acompanhando seu uso. Muitas organizações estão baseando suas estratégias de segurança de APIs em falsas suposições — por exemplo, que os gateways de API e os WAFs tradicionais oferecem proteção suficiente. Isso deixa as APIs vulneráveis e expostas a ameaças comuns, como ataques de bots. Uma solução abrangente de proteção de APIs, que inclui proteção de bot, pode endereçar essas ameaças. Mas poucos entrevistados indicaram que tinham soluções que realmente têm a capacidade de fornecer uma segurança eficaz. A proteção empresarial é tão forte quanto seu elo mais fraco.”
Metade das empresas pesquisadas enxergam suas ferramentas existentes como apenas pouco ou minimamente eficazes na proteção de suas APIs, com 7% relatando que as soluções que possuem não identificaram nenhum ataque. A incapacidade das ferramentas existentes de proteger adequadamente as APIs contra ameaças comuns aumenta ainda mais a falsa narrativa de segurança.
Código aberto contribui para o mito da segurança
65% dos entrevistados acreditam que o código aberto é mais seguro do que o código proprietário, e quase 74% acreditam que implantações baseadas em contêineres e arquiteturas de micros serviços são mais seguras do que arquiteturas e implantações monolíticas por padrão.
“A crença de que o código aberto é mais seguro por design poderia explicar por que algumas organizações baixam suas guardas quando se trata de gerenciamento de patches. No entanto, como vimos nos casos de Log4j e Heartbleed, o código aberto pode ter as mesmas falhas de segurança que o código proprietário. Acreditar que o código aberto é inerentemente mais seguro por padrão só contribui ainda mais para a falsa narrativa que deixa as organizações vulneráveis a ataques cibernéticos”, finaliza Malka.