Empresa de segurança alerta sobre abuso de APIs

A empresa de segurança Radware divulgou o estudo 2020-2021 State of Web Application Security Report (Relatório do Estado de Segurança de Aplicativos da Web 2020-2021), que revelou que as organizações globais estão lutando para manter a segurança de aplicativos consistente em várias plataformas e também estão perdendo visibilidade com o surgimento de novas arquiteturas e a adoção de Application Program Interfaces (APIs). Segundo o relatório, um fator importante nesses desafios foi a necessidade de as empresas se ajustarem rapidamente a um novo modelo de trabalho remoto e envolvimento com o cliente por conta da pandemia, deixando aos tomadores de decisão pouco ou nenhum tempo para conduzir um planejamento de segurança adequado.

“Com mais de 70% dos entrevistados relataram que seus aplicativos de produção já deixaram o data center e garantir a segurança e a integridade desses dados e aplicativos está se tornando mais desafiador, principalmente em ambientes com várias Nuvens”, disse Gabi Malka, COO da Radware. “Essa migração, em combinação com uma maior dependência de APIs e o acréscimo de aplicativos móveis inseguros, tem sido uma dádiva para os criminosos, deixando-os à frente na curva da segurança cibernética. Porém, os entrevistados que já mudaram para a Nuvem pública e têm vários aplicativos expostos às APIs parecem entender os riscos que estão sofrendo”, acrescentou o executivo.

De acordo com o estudo, há uma dependência cada vez maior de aplicativos habilitados para a Web na forma de APIs. Uma grande variedade de dados confidenciais é processada ​​por esses aplicativos, como credenciais de usuário, informações de pagamento, números de previdência social etc. Espera-se que os abusos de API se tornem o vetor de ataque mais frequente. Como tal, a segurança é o buraco mais crítico que as empresas devem corrigir em 2021.

Vulnerabilidade

Quase 40% das organizações pesquisadas relataram que mais da metade de seus aplicativos são expostos à Internet ou a serviços de terceiros por meio de APIs. Cerca de 55% das organizações experimentam um ataque DoS contra suas APIs pelo menos mensalmente, 49% experimentam alguma forma de injection attack pelo menos mensalmente e 42% experimentam uma manipulação de elemento /atributo pelo menos mensalmente.

O gerenciamento de bots também é uma grande preocupação, porque as empresas não estão preparadas para gerenciar adequadamente o tráfego de robôs. Embora os firewalls de aplicativos da Web ofereçam recursos defensivos importantes para detectar e prevenir ataques contra APIs e similares, as ferramentas de gerenciamento de bots oferecem uma defesa robusta contra ataques de robôs sofisticados. E oferecem às equipes de segurança uma melhor compreensão sobre como lidar com uma variedade de ameaças e ataques. O relatório revelou que apenas 24% das organizações têm uma solução dedicada para distinguir entre um usuário real e um bot. Além disso, apenas 39% dos entrevistados têm confiança em sua compreensão do que está acontecendo com bots sofisticados.

Os aplicativos móveis desempenharam um papel crítico durante 2020, pois a maioria dos profissionais da informação foi transferida para o trabalho em casa e a maioria usa aplicativos móveis para entretenimento, interação social, educação e compras. No entanto, o desenvolvimento de aplicativos móveis é altamente inseguro. Isso é verdade, em parte, porque os aplicativos móveis são majoritariamente desenvolvidos por terceiros.

A pesquisa descobriu ainda que apenas 36% dos aplicativos móveis têm segurança totalmente integrada e uma grande proporção tem segurança mínima ou nenhuma segurança (22%). Como resultado, até que a segurança de aplicativos móveis seja tratada seriamente, é esperado ver mais – e mais sérios – incidentes que usam o canal móvel para ataques. Isso, por sua vez, provavelmente colocará mais pressão sobre as empresas para proteger os aplicativos móveis e não deixar os dados do consumidor expostos aos hackers.

Apesar das ameaças descritas no relatório, a segurança não é a primeira prioridade nas práticas de desenvolvimento de aplicativos. Em aproximadamente 90% das organizações pesquisadas, a equipe de segurança não é o principal influenciador na arquitetura de desenvolvimento de aplicativos nem no orçamento. Cerca de 43% das empresas pesquisadas disseram que a segurança não deve interromper a automação de ponta a ponta do ciclo de lançamento. Isso cria uma situação em que as próprias pessoas responsáveis ​​pela segurança têm pouco controle sobre como os aplicativos são desenvolvidos.

Serviço
www.radware.com