Relatório da F5 alerta sobre as vulnerabilidades trazidas pelo uso de APIs

A F5, empresa global de segurança e entrega de aplicativos Multicloud, anunciou nesta terça-feira (1/10) as conclusões de seu Relatório de Estratégia de Estado de Aplicativos de 2024: Segurança de APIs, revelando fatos preocupantes sobre o estado atual da segurança de APIs em todos os setores. O relatório destaca lacunas significativas na proteção de APIs, expondo-as a possíveis ameaças que podem comprometer a segurança e as operações corporativas. Esses desafios são ampliados pela rápida proliferação de APIs no cenário digital atual.

A pesquisa descobriu que menos de 70% das APIs voltadas para o cliente são protegidas usando HTTPS (Hypertext Transfer Protocol Secure), deixando quase um terço dessas APIs completamente desprotegidas. Este é um forte contraste com os 90% das páginas da Web que agora são acessadas via HTTPS, seguindo o impulso para comunicações seguras na web na última década.

“As APIs estão se tornando a espinha dorsal dos esforços de Transformação Digital, conectando serviços e aplicativos críticos entre as organizações”, disse Lori MacVittie, engenheira distinta da F5. “No entanto, como nosso relatório indica, muitas organizações não estão acompanhando os requisitos de segurança necessários para proteger esses ativos valiosos, especialmente no contexto de ameaças emergentes orientadas por IA”, completou.

As principais conclusões do relatório incluem:

Crescimento rápido e ambientes diversificados: a organização média agora gerencia 421 APIs diferentes, com a maioria hospedada em ambientes de nuvem pública. Apesar desse crescimento, um número significativo de APIs, principalmente aquelas voltadas para o cliente, permanece desprotegida.

Evolução dos usos da API e das necessidades de segurança: à medida que as APIs se conectam cada vez mais a serviços de IA como o OpenAI, o modelo de segurança deve se adaptar para cobrir o tráfego de entrada e saída da API. As práticas atuais se concentram principalmente no tráfego de entrada, deixando as chamadas de API de saída vulneráveis.

Responsabilidade fragmentada pela segurança da API: o relatório revela uma responsabilidade dividida pela segurança de APIs dentro das organizações, com 53% gerenciando-a sob segurança de aplicativos e 31% por meio de plataformas de gerenciamento e integração de APIs. Essa divisão pode levar a lacunas na cobertura e práticas de segurança inconsistentes.

Alta demanda por soluções de segurança programáveis: os entrevistados classificaram a programabilidade como o recurso de segurança de API mais valioso, ressaltando a necessidade de inspeção e resposta em tempo real ao tráfego e às ameaças da API.
Abordando as lacunas na segurança da API

Para resolver essas lacunas de segurança, o relatório recomenda que as organizações adotem soluções de segurança abrangentes que possam cobrir todo o ciclo de vida da API, desde o design até a implantação. Ao integrar a segurança de APIs nas fases de desenvolvimento e operacionais, as organizações podem proteger melhor seus ativos digitais contra uma variedade crescente de ameaças.

“As APIs são parte integrante da era da IA, mas devem ser protegidas para garantir que a IA e os serviços digitais possam operar com segurança e eficácia”, acrescentou Lori. “Este relatório é um apelo à ação para que as organizações reavaliem suas estratégias de segurança de API e tomem as medidas necessárias para proteger seus dados e serviços”, finalizou.