Ataque de API é uma grande preocupação para as empresas, diz Salt Security

O Guia de Mercado do Gartner 2024 para Proteção de API, que aponta as principais tendências, desafios e recomendações para líderes de segurança, identificou que a segurança das APIs é uma preocupação fundamental para as organizações, com a Pesquisa de Estratégia de API Gartner 2024 constatando que 37% dos entrevistados consideram a segurança entre seus principais desafios.

“Este número ainda é tímido quando lembramos que 95% dos entrevistados no Relatório sobre o Estado da Segurança de API do Salt Labs, 2024, divulgado recentemente, declararam ter experimentado problemas de segurança em suas APIs produtivas”, comenta Daniela Costa, diretora para a América Latina da Salt Security, empresa de segurança de API, acrescentando que ambos os estudos reforçam a importância de as organizações priorizarem a proteção de suas APIs.

O Guia desenvolvido pelo Gartner aponta que os ataques às APIs excedem a magnitude de outras ações criminosas, sendo que o volume de dados vazados é pelo menos 10 vezes superior à média registrada em outras violações de segurança. As principais recomendações apresentadas pelo trabalho, quando comparadas com os números do Relatório da Salt Security, revelam que os executivos diretamente ligados a esta questão crucial da segurança das APIs precisam acelerar a adoção das medidas de proteção necessárias para superar os muitos desafios apresentados:

Descoberta de API: a solução de proteção de API deve identificar e criar automaticamente um inventário das APIs produzidas ou que estão sendo usadas ativamente. Toda a atenção é pouca para as APIs “zumbis” e fantasmas. Ambos os tipos são problemáticos porque não são visíveis ou não estão sendo geridos pela organização. Em relação a este ponto, quase 70% dos entrevistados pela Salt comentaram que tem muita preocupação com os riscos associados às APIs zumbis e fantasmas, reforçando que a tendência do Gartner é uma realidade para os times de governança.

Gerenciamento de postura de segurança de API: a solução de proteção deve avaliar as APIs buscando configurações incorretas ou implementações não seguras. Por exemplo, a API pode apresentar dados confidenciais em URLs ou retornar dados confidenciais em resposta sem autenticação, comprometendo toda a segurança. Este ponto evidencia a importância de se implementar uma sólida estratégia de segurança para as APIs e, ainda assim, o levantamento realizado pela Salt constatou que apenas 10% dos entrevistados possuem uma estratégia já em operação, enquanto 47% ainda planejam adotar algo neste sentido nos próximos 12 meses.

Proteção de tempo de execução de API: é fundamental o reconhecimento de padrões de comportamento que indiquem o uso mal-intencionado da API durante o tempo de execução. O mecanismo de detecção de anomalias é treinado com conjuntos de dados de ataques semelhantes, sendo capaz de reconhecer comportamentos criminosos. Esta recomendação presente no Guia do Gartner fica ainda mais relevante quando confrontada com a realidade identificada pelo estudo da Salt, apurando que apenas 7,5% dos entrevistados definiram como “avançado” o estágio de seus programas de segurança de APIs, enquanto expressivos 31% admitiram que ainda se encontram no estágio de planejamento.

De acordo com os analistas do Gartner, neste cenário de crescentes ameaças é essencial o emprego de soluções especializadas de proteção de APIs, em especial em setores que demandam uma proteção mais rigorosa, como os de serviços financeiros, saúde e governo.

“A construção de uma estratégia de resiliência para os ataques às APIs passa pela adoção de recursos avançados como IA e Machine Learning, que seja capaz de fazer um inventário completo das APIs e de detectar, a longo do tempo, comportamentos atípicos, podendo assim evitar que ações criminosas sejam bem-sucedidas”, analisa Daniela.

A executiva também destacou o fato de a Salt Security ter sido reconhecida como “A Escolha do Cliente” no Gartner Peer Insights. “Fomos o único fornecedor dedicado à Segurança de API a receber este destaque que é resultado direto da avaliação feita por nossos clientes e os números que o relatório apresentou são muito expressivos, com 96% dos entrevistados se declarando dispostos a recomendar o Salt Security como ferramenta de proteção de API e 77% avaliando a empresa com cinco estrelas, a maior possível, refletindo a qualidade da experiência geral obtida ”, resumiu Daniela.