F5 aponta que empresas falham na proteção de APIs

A F5, provedora de soluções de segurança cibernética, anunciou as descobertas do estudo State of Application Strategy 2024 . Este relatório foi construído a partir de entrevistas com 700 CIOs e CISOs de todo o mundo, incluindo 28 do Brasil. Pela primeira vez deste que essa pesquisa começou a ser feita, em 2014, descobriu-se que 41% das organizações contam com pelo menos o mesmo número de aplicações e APIs (Application Programming Interfaces). As empresas analisadas têm um faturamento anual que fica entre 200 milhões e mais de 10  de dólares.

Este segmento – com organizações que faturam o equivalente a R$ 50 bilhões – utiliza, em média, 1013 aplicações. Trata-se de plataformas como o Internet Banking dos grandes bancos, o engine dos maiores portais de e-commerce do Brasil, ou os principais portais de e-Gov. “O que surpreende é que, neste porte de empresas, o número de APIs (Application Programming Interfaces) supera em muito o de aplicações. Esse mercado trabalha, em média, com 1394 APIs”, diz Roberto Ricossa, vice-presidente da F5 América Latina.

No caso das empresas que ficam entre 1 e 10 bilhões de dólares a proporção é 453 APIs para 150 aplicações. Até mesmo empresas que esbarram no faturamento de 200 milhões de dólares contam, hoje, com um grande número de APIs: 293. “Vale destacar que, entre o universo de usuários das soluções F5 de proteção de aplicações e APIs, encontramos as maiores empresas do mundo. Essas organizações lidam, hoje, com mais de 10 mil APIs”.

Falta de visibilidade sobre APIs lícitas e Shadow APIs
Tudo indica que a proliferação de APIs seguirá se expandindo em 2024 e o desafio de proteger essas linguagens críticas, também. “Hoje é praticamente inviável realizar negócios digitais sem consumir e publicar APIs”, observa Hilmar Becker, diretor Regional da F5 Brasil. “Ecossistemas como Open Finance, a disseminação das SuperApps e a conexão 24×7 entre aplicações de empresas diferentes explicam essa dependência”. Essa evolução está acontecendo de forma desordenada, com as organizações primeiramente consumindo e publicando APIs para, somente num segundo momento, endereçarem o desafio de proteger essas linguagens. “Há situações em que, de cada 10 empresas usuárias de APIs, somente uma mapeou e autenticou suas APIs, tendo clareza sobre quais APIs são lícitas, quais são Shadow APIs e devem ser expulsas da esteira de desenvolvimento”.

O quadro fica ainda mais desafiador quando se compreende que o funcionamento de plataformas de IA como o ChatGPT é baseado em Large Language Models (LLM); Esta linguagem utiliza APIs para compartilhar e consumir dados estruturados e não estruturados com terceiros.

O estudo SOAS 2024 revela, ainda, que aproximadamente 90% das organizações utilizam a Nuvem híbrida. 38% dos entrevistados, em especial, afirmam implementar suas aplicações e API em até seis Nuvens. “Essa realidade aumenta a complexidade da gestão de um ambiente baseado em Nuvens completamente diferentes uma da outra. Desde a operação até o billing, tudo muda de Nuvem para Nuvem. Isso amplia a vulnerabilidade a ataques e dificulta a proteção deste todo”, explica Kleython Kell, engenheiro de Soluções da F5 Brasil. Em 2023, somente 20% dos entrevistados trabalhavam com até 6 ambiente diferentes, incluindo sites on-premises, Edge Computing e Nuvens públicas.

Multinuvem impõe desafios de gestão, otimização e segurança
Numa resposta de múltipla escolha, os líderes entrevistados afirmaram que a adoção do modelo multicloud traz problemas de gestão (34%), dificulta a migração de aplicações entre múltiplas Nuvens (32%), afeta a otimização da performance (31%) e, finalmente, impede a adoção de políticas de segurança de forma consistente em todas as Nuvens (31%).

Finalmente, o estudo SOAS 2024 analisa os ganhos que tecnologias de cybersecurity baseadas em Inteligência Artificial (IA) estão trazendo para os CISOs. Numa resposta de múltipla escolha, 35% adotam essa estratégia para ajustar automaticamente as políticas de segurança e gerar novas configurações de defesa para enfrentar ameaças detectadas. 29% dizem que a IA está melhorando a eficácia de soluções para detectar e neutralizar, de forma preditiva, ameaças. 19% exploram a IA para construir análises para o Board sobre ataques digitais. 17% usam a linguagem natural da IA para explorar e analisar dados estruturados e não estruturados sobre cybersecurity.

Para Kell, uma solução possível para tantos e novos desafios é a adoção de uma plataforma de proteção de aplicações e APIs que provê uma visão centralizada dos diversos ativos digitais em ambiente multinuvem. “Com o F5 Distributed Cloud Services, IA, ML e análise comportamental atuam na escala de milhões de transações por segundo e com a máxima performance, de modo a preservar a UX do consumidor. Essa plataforma roda na Nuvem global da F5, garantindo baixa latência onde quer que esteja implementada a aplicação. O gestor opera uma única interface, com a certeza de que atingirá a granularidade que for necessária para analisar cada incidente, cada elemento da Nuvem, cada API. Mais do que tecnologia, trata-se de uma inteligência que conta com um time de cientistas de dados que trabalha 24×7 para proteger os dados que sustentam a vida de países, empresas e pessoas”.

Serviço
f5.com