book_icon

Uso de IA acelera problemas de segurança com APIs, diz Salt Security

A pesquisa descobriu que 95% dos entrevistados experimentaram problemas de segurança nas APIs de produção, com 23% sofrendo violações

Uso de IA acelera problemas de segurança com APIs, diz Salt Security

A Salt Security, empresa global de segurança de API, revelou nesta terça-feira (18/6) as conclusões do Relatório de Segurança de API de 2024 da Salt Labs. A pesquisa, que analisou respostas de pesquisa de 250 profissionais de TI e segurança, combinada com dados empíricos anônimos de clientes da Salt, destaca a falta de maturidade de segurança de API e governança de postura em todas as organizações, levando a um aumento nos incidentes de segurança de API e tráfego de ataque.

A pesquisa descobriu que quase todos (95%) dos entrevistados experimentaram problemas de segurança nas APIs de produção, com 23% sofrendo violações como resultado de inadequações de segurança de API. O volume de APIs dentro das organizações também está acelerando, com dados de clientes da Salt mostrando um aumento de 167% nas contagens de APIs nos últimos 12 meses, e quase dois terços (66%) dos entrevistados da pesquisa indicando que estão gerenciando mais de 100 APIs. Com o aumento do uso da API, vem uma superfície de ataque de API expandida, colocando a atividade maliciosa em alta.

Apenas 12% dos entrevistados se sentem muito confiantes na precisão de seu inventário de APIs, destacando uma falta generalizada de confiança na postura de segurança

O relatório de 2024 também destaca a contínua falta de maturidade de segurança da API. Apenas 7,5% das organizações consideram seus programas de segurança de API como “avançados” e, alarmantemente, mais de um terço (37%) dos entrevistados, que têm APIs em execução em produção, não têm uma estratégia de segurança de API ativa em vigor. Apesar disso, quase metade (46%) dos entrevistados afirmou que a segurança da API é uma discussão de nível C dentro de sua organização.

De acordo com a pesquisa, as estratégias de governança de postura de API, que fornecem uma estrutura estruturada para gerenciar e proteger todo o ecossistema de API, desde o design até a implantação, também permanecem um fenômeno relativamente novo. Atualmente, apenas 10% das organizações têm uma estratégia de governança de postura de API. No entanto, percebendo sua importância crítica, quase metade (47%) planeja implementar tal estratégia nos próximos 12 meses. Ao implementar um mecanismo robusto de governança de postura de API, as organizações podem obter visibilidade completa de seu cenário de API, eliminar pontos cegos e estabelecer padrões e regulamentos de segurança em toda a empresa em todo o ecossistema de API.

“O volume de APIs dentro das organizações não está mostrando nenhum sinal de declínio, e as equipes de segurança estão lutando para acompanhar a amplitude e a profundidade dos ecossistemas de API modernos”, disse Roey Eliyahu, cofundador e CEO da Salt Security. “Como ilustrado pelas descobertas de nossa pesquisa, os invasores continuam a tirar proveito disso, aproveitando pontos fracos dentro das APIs para executar ataques maliciosos e obter acesso a dados da empresa e dos clientes. Com os agentes mal-intencionados constantemente refinando suas táticas para lançar discretamente ataques de API, muitas vezes por meios legítimos, isso exige que as organizações adotem uma abordagem mais sofisticada para proteger APIs. Um que engloba fortes recursos de descoberta de API, uma estratégia de governança de postura e a capacidade de detectar de forma rápida e eficiente ameaças ativas e tráfego de API mal-intencionado.”

Outras descobertas importantes do Relatório sobre o Estado da Segurança da API de 2024 incluem:

– A ameaça de ataques de API está crescendo

– A pesquisa revelou que os incidentes de segurança de API estão aumentando.

– Os incidentes de segurança de API mais do que dobraram nos últimos 12 meses, com 37% dos entrevistados experimentando um incidente, em comparação com apenas 17% em 2023.

A análise de dados de clientes da Salt Labs descobriu que os invasores estão usando uma gama diversificada de táticas, com uma parcela significativa ignorando os protocolos de autenticação. Quase dois terços (61%) dos ataques não são autenticados.
As APIs internas também são vulneráveis, com 13% das tentativas de ataque direcionando-as explicitamente.

APIs de zumbis continuam sendo uma das principais preocupações entre os entrevistados

Os entrevistados expressaram altos níveis de preocupação sobre os riscos potenciais associados às APIs “Zombie” – as APIs desatualizadas e esquecidas dentro dos ecossistemas.

– Alarmantes 70% destacam as APIs de zumbis como uma grande ou forte preocupação, contra 54% em 2023.

– A tomada de conta e a negação de serviço lideram a segunda e a terceira preocupação, respectivamente.

A descoberta de API continua sendo um desafio

– A descoberta de API foi destacada como um obstáculo contínuo para muitas organizações.

– Apenas 58% das organizações têm processos em vigor para descobrir APIs em toda a sua infraestrutura.

– Menos de 15% dos entrevistados estão muito confiantes de que entendem quais APIs expõem informações de identificação pessoal (PII).

Os métodos tradicionais são insuficientes para proteger contra ataques modernos

– Apenas 21% dos entrevistados acreditam que suas abordagens atuais de segurança de API são eficazes na proteção contra ataques de API, sinalizando problemas com os métodos existentes.

– Gateways de API (54%), análise de arquivos de log (45%) e firewalls de aplicativos Web (WAFs) (42%) são as ferramentas mais comuns que as organizações estão utilizando para detectar e prevenir atividades maliciosas de APIs, mas permanecem insuficientes e não têm confiança do usuário.

As atualizações de API ocorrem com mais frequência e as organizações lutam para acompanhar o ritmo da documentação

A rápida mudança das APIs, combinada com o uso crescente de APIs geradas por IA, tornou os métodos tradicionais de documentação obsoletos.

– Mais de um terço das organizações atualiza suas APIs pelo menos uma vez por semana (38%), e uma parcela significativa (13%) faz atualizações diárias.

– Apenas 12% dos entrevistados se sentem muito confiantes na precisão de seu inventário de APIs, destacando uma falta generalizada de confiança na postura de segurança.

– Os atacantes estão seguindo o OWASP Top 10

Uma grande porcentagem dos ataques de API tem como alvo fraquezas de segurança bem conhecidas descritas na lista OWASP API Security Top 10.

– 80% das tentativas de ataque utilizam um ou mais dos 10 principais métodos descritos na lista.

– Apesar dessa base de conhecimento estabelecida, apenas 58% das organizações priorizam a proteção contra as ameaças de API descritas pelo OWASP.

 

Últimas Notícias
Você também pode gostar
As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.