[bsa_pro_ad_space id=3 delay=8]

Excesso de confiança na proteção de APIs deixa empresas expostas a ataques cibernéticos

Pesquisa revela que 92% das companhias afirmam que têm um plano em vigor para proteger adequadamente as APIs contra ataques cibernéticos; no entanto, 62% admitem que um terço ou mais de suas APIs não estão documentadas

Compartilhar:

A Radware anunciou seu relatório State of API Security 2022, conduzida pela Enterprise Management Associates, revelou uma falsa sensação de segurança entre as organizações quando se trata de proteção de APIs. A pesquisa inclui respostas de CIOs, CTOs, Vice-presidentes e Diretores de TI de organizações globais da América do Norte, EMEA e APAC.

 

De acordo com a pesquisa, o uso de APIs está em alta: 92% das organizações pesquisadas aumentaram significativamente seu uso de APIs, com 59% já executando a maioria de suas aplicações na nuvem. Além disso, quase 97% das organizações usam APIs para comunicações entre cargas de trabalho e sistemas, destacando a crescente dependência de APIs nas operações comerciais diárias.

 

Enquanto 92% dos entrevistados acreditam ter proteção adequada para suas APIs, e 70% acreditam ter visibilidade sobre as aplicações que estão processando dados confidenciais, 62% admitem que um terço ou mais de suas APIs não estão documentadas. APIs não documentadas deixam as organizações vulneráveis a ameaças cibernéticas, como exposições de bancos de dados, violações de dados e ataques scraping.

 

“Para muitas companhias há, inequivocamente, uma falsa sensação de segurança, de que elas estão adequadamente protegidas contra ataques cibernéticos. Na realidade, elas têm lacunas significativas na proteção de APIs desconhecidas e não documentadas”, comentou Gabi Malka, Chief Operations Officer e Chefe de Pesquisa e Desenvolvimento da Radware.

 

Ataques de bot continuam a ser uma ameaça

 

Quase um terço das empresas (32%) entrevistadas afirmaram que os ataques automatizados de bots são uma das ameaças mais comuns às APIs. Em termos de detectar um ataque de API, 29% dizem confiar em alertas de um gateway de API e 21% confiam em firewalls de aplicação web (WAF). 

 

O executivo acrescenta: “os dados da pesquisa indicam que a proteção de APIs não está acompanhando seu uso. Muitas organizações estão baseando suas estratégias de segurança de APIs em falsas suposições — por exemplo, que os gateways de API e os WAFs tradicionais oferecem proteção suficiente. Isso deixa as APIs vulneráveis e expostas a ameaças comuns, como ataques de bots. Uma solução abrangente de proteção de APIs, que inclui proteção de bot, pode endereçar essas ameaças. Mas poucos entrevistados indicaram que tinham soluções que realmente têm a capacidade de fornecer uma segurança eficaz. A proteção empresarial é tão forte quanto seu elo mais fraco.”

 

Metade das empresas pesquisadas enxergam suas ferramentas existentes como apenas pouco ou minimamente eficazes na proteção de suas APIs, com 7% relatando que as soluções que possuem não identificaram nenhum ataque. A incapacidade das ferramentas existentes de proteger adequadamente as APIs contra ameaças comuns aumenta ainda mais a falsa narrativa de segurança.

 

Código aberto contribui para o mito da segurança

 

65% dos entrevistados acreditam que o código aberto é mais seguro do que o código proprietário, e quase 74% acreditam que implantações baseadas em contêineres e arquiteturas de micros serviços são mais seguras do que arquiteturas e implantações monolíticas por padrão.

 

“A crença de que o código aberto é mais seguro por design poderia explicar por que algumas organizações baixam suas guardas quando se trata de gerenciamento de patches. No entanto, como vimos nos casos de Log4j e Heartbleed, o código aberto pode ter as mesmas falhas de segurança que o código proprietário. Acreditar que o código aberto é inerentemente mais seguro por padrão só contribui ainda mais para a falsa narrativa que deixa as organizações vulneráveis a ataques cibernéticos”, finaliza Malka.

Conteúdos Relacionados

Security Report | Overview

ANPD é formalizada como coordenadora do Sistema Nacional de Inteligência Artificial

Como órgão de coordenação do SIA, a ANPD receberá novas atribuições. Caberá à Autarquia representar o Brasil perante organismos internacionais,...
Security Report | Overview

Nova ameaça do AllaSenha no Brasil faz setor financeiro entrar em alerta

Novo método de ataque, baseado em infecção de scripts Python e uso de plataforma Azure como Comando e Controle tem...
Security Report | Overview

95% das empresas têm problemas de segurança nas APIs, apura novo relatório

Relatório Salt Security State of API destaca ecossistemas de API em rápido crescimento, o aumento da atividade de ataques e...
Security Report | Overview

Laboratório de threat intel detecta roubo de credenciais em quase 800 empresas globais

O grupo Sophos X-Ops, focado em pesquisas no cenário cibercriminoso internacional, detectou uma nova campanha de comprometimento de credenciais válidas...