Pesquisa aponta que 29% dos ciberataques no último ano tiveram as APIs como alvo

De acordo com o relatório State of the Internet, o setor do comércio é o principal alvo com 44% dos ataques. A Akamai tem percebido essa como uma demanda e avançou na consolidação da proteção desses ativos com a aquisição da Noname Security

Compartilhar:

Na era da transformação digital, as interfaces de programação e aplicação (APIs) desempenham um papel fundamental para a maioria das empresas, melhorando as experiências dos funcionários e clientes, promovendo a integração, inovação, personalização e acessibilidade dos serviços oferecidos.

 

No entanto, essa transformação está sendo impactada por uma crescente atenção dos cibercriminosos às APIs, conforme destacado pela Akamai em seu último relatório SOTI (State of the Internet) de 2024, intitulado Lurking in the Shadows: Attack Trends Shine Light on API Threats (em tradução livre, Escondido nas Sombras: Tendências de Ataques Revelam as Ameaças às APIs), que revela um panorama em constante mudança de ciberataques direcionados às APIs.

 

As APIs podem expor dados aos cibercriminosos uma vez que obtenham acesso não autorizado. Por outro lado, APIs vêm sendo fundamentais em recentes evoluções dos negócios, elevando a experiência tanto dos usuários quanto dos provedores. A agilidade e eficiência para os negócios proporcionam a rápida expansão da economia das APIs, mas esse progresso deu aos cibercriminosos novas oportunidades de exploração digital. O relatório revela que esses ataques continuarão aumentando junto com a demanda pelo uso de APIs.

 

“Identificar pontos cegos, como APIs ocultas ou não autorizadas, permite que as equipes de segurança abordem vulnerabilidades previamente”, explica Claudio Baumann, Diretor Geral da Akamai Technologies para a América Latina.

 

Os ataques às APIs não só representam uma ameaça para as empresas, mas também têm um impacto significativo na vida das pessoas. O vazamento de dados confidenciais pode resultar em roubo de identidade, levando a fraudes financeiras e violações de privacidade para os clientes das empresas afetadas. Além disso, a interrupção dos serviços essenciais pode causar frustração e inconveniência para os usuários finais.

 

“O vazamento de informações de cartão de crédito através de uma API de um aplicativo bancário, por exemplo, pode expor detalhes como números de cartão, informações de transações e saldo da conta, sendo utilizados para outros tipos de golpes”, explica Claudio Baumann.

 

Conforme revelado, 29% dos ciberataques do último ano tiveram as APIs como principal alvo. O motivo seria a crescente atenção que os cibercriminosos estão prestando a essas interfaces digitais, se aproveitando das oportunidades criadas pela rápida expansão da economia das APIs. Além disso, é ressaltado que o setor de comércio é o número um em ataques, com 44%.

 

Um dos pontos importantes abordados no relatório é o business logic abuse, levantando a difícil tarefa de detectar atividades anormais sem uma linha de base clara. A falta de soluções para monitorar essas anomalias coloca as organizações em risco de sofrer ataques em tempo de execução, como o “data scraping”.

 

Desafíos de segurança

O relatório identifica três desafios gerais de segurança enfrentados pelas APIs: visibilidade, vulnerabilidade e abuso de lógica empresarial. A falta de controles e processos para garantir a proteção de todas as APIs, bem como a ausência de melhores práticas de desenvolvimento, são reveladas como vulnerabilidades-chave.

 

Os serviços empresariais ocupam o segundo lugar em risco, com quase 32% dos ataques, destacando os perigos potenciais dos ataques à cadeia de suprimentos. A falta de compreensão sobre as implicações de segurança das APIs em diversas verticais, como o setor de saúde com a Internet das Coisas Médicas (IoMT), adiciona uma camada adicional de ameaças.

 

O relatório destaca que erros de programação ou configuração, combinados com a rapidez no lançamento de aplicativos e processos empresariais, aumentam o risco de violações de segurança. As ramificações incluem danos à marca, perda de dados confidenciais e problemas de conformidade, destacando a importância crítica da segurança das APIs atualmente.

 

“A falta de investimento adequado em segurança de APIs pode ter consequências diretas para clientes e reputação de marca, além de expor empresas a riscos legais, regulatórios e financeiros significativos. Multas, litígios e danos à reputação podem resultar em impactos duradouros. Além disso, um ataque a uma API pode afetar não só a empresa atacada, mas também seus parceiros e clientes;’, completa Baumann.

 

Implementar controles de acesso robustos, monitorar atividades suspeitas, educar e treinar os funcionários sobre práticas seguras de desenvolvimento e uso de APIs, além de medidas de segurança em todas as etapas do ciclo de vida das APIs são algumas das práticas essenciais contra os ataques às APIs.

 

“A segurança das APIs é algo crucial. Ignorar essa segurança não é apenas um erro empresarial, mas uma negligência que pode afetar a confiança dos clientes na marca. É essencial investir em medidas proativas de segurança para proteger não apenas as empresas, mas também os indivíduos que dependem delas”, finaliza Claudio.

 

Consolidação de mercado

Considerando a demanda cada vez maior pela redução de soluções que atendam a essa necessidade de proteção, a Akamai avançou com seu projeto de consolidação da proteção de APIs e confirmou a aquisição da Noname Security, por US$ 450 milhões. A Noname, um dos principais fornecedores de segurança de API do mercado, aprimorará a solução de segurança de API existente da Akamai e acelerará sua capacidade de atender à crescente demanda dos clientes e aos requisitos do mercado à medida que o uso de APIs continua a se expandir.

 

“Os aplicativos rodam nosso mundo, mas à medida que os aplicativos e os usuários proliferam, os riscos de segurança também aumentam. Com a adição do Noname, a Akamai acredita que terá a amplitude de integrações e opções de implantação necessárias para fornecer proteção abrangente de API para clientes em todos os ambientes”, afirmou Mani Sundaram, vice-presidente executivo e gerente-geral do Grupo de Tecnologia de Segurança da Akamai.

 

Para o ano fiscal de 2024, espera-se que a aquisição entregue aproximadamente US$ 20 milhões de receita, seja dilutiva para margem operacional não-GAAP em aproximadamente 0,50% e seja dilutiva para lucro líquido não-GAAP por ação diluída em aproximadamente US$ 0,10.

Conteúdos Relacionados

Security Report | Overview

Vulnerabilidade no Google Cloud pode comprometer milhões de servidores, alerta Laboratório

Embora essa técnica de ataque seja conhecida há vários anos, a pesquisa da Tenable mostra uma alarmante falta de conscientização...
Security Report | Overview

“Como toda tecnologia, deepfake pode ser perigoso”, diz ex-CIO da Casa Branca

Theresa Payton, primeira mulher a assumir o cargo e especialista na defesa contra hackers, apontou como a tecnologia tem sido...
Security Report | Overview

Mascaramento de dados pode ajudar na proteção de dados e conformidade com LGPD?

O mascaramento de dados, que consiste em evitar ataques cibernéticos nas empresas ao substituir informações sensíveis por dados fictícios com...
Security Report | Overview

Agosto registrou mais de R$ 200 milhões em tentativas de fraude no e-commerce

Apesar da redução de 8,4% frente a 2023, o valor do ticket médio dos pedidos fraudulentos teve um aumento de...