0
0
Até 2030, mercado global deverá contar com bilhões de APIs e até 45 milhões de desenvolvedores, aumentando a superfície de vulnerabilidade
Um estudo da F5, fornecedora de soluções de segurança, aponta que há uma explosão de APIs, o que vai aumentar a superfície de riscos. Isso é uma preocupação principalmente para o setor financeiro, em razão do open banking. O levantamento, chamado “Riscos causados pela proliferação das APIs”, foi produzido pelos experts do F5 Labs.
O time da F5 construiu, a partir de análises do mercado global de APIs, um modelo que simultaneamente examina o estado atual desse universo e para onde ele avança. A estimativa é que o número de APIs públicas e privadas hoje se aproxime de 200 milhões e que, em 2031, esse número poderá chegar a bilhões. Também é possível que o número de desenvolvedores chegue a 45 milhões em 2030, segundo estimativa da F5. Em 2018, eram 23,9 milhões.
Quando as APIs começaram a ser adotadas no início dos anos 2000, elas eram vistas principalmente como uma solução técnica que permitia que as aplicações se conectassem e trocassem dados. Mas com sua explosão, ela trará novos desafios para os gestores de cibersegurança.
No open banking, por exemplo, as APIs fazem o papel de integrar as aplicações de diferentes empresas do setor financeiro, o que permite criar um fluxo de dados que acelera ainda mais a economia digital.
Os riscos das APIs
Esse contexto traz, no entanto, riscos. Conforme o número de APIs e a complexidade das aplicações aumentam, fica muito difícil rastrear onde as APIs estão localizadas. Descobri-las dentro e fora da empresa pode ser difícil e a conectividade ponta a ponta pode ser afetada.
As APIs têm muitas formas e tamanhos e uma variedade de funções. Existem APIs públicas, acessíveis ao público em geral, como as usadas pelo Google Maps. Há APIs privadas, que fazem parte de sistemas internos, como no caso das APIs de microsserviços, ou para uso apenas por equipes internas. Existem APIs de parceiros que permitem o compartilhamento de dados e a criação de ofertas inovadoras. Gerenciar e controlar todos esses diferentes tipos de APIs pode ser um desafio para as empresas.
De acordo com o relatório da F5, a proliferação de APIs apresenta desafios operacionais e de segurança. Estudo do Gartner de fevereiro de 2021 mostra que exploits focados em APIs são cada vez mais comuns. O levantamento aponta que aplicações web serão cada vez mais atacadas por meio de vulnerabilidades de APIs. Além disso, entrevistas realizadas com 200 CISOs norte-americanos em 2021 indicaram que 91% haviam sofrido ataques por meio de APIs.
A própria natureza da API aumenta os riscos do ambiente. Atualizações frequentes de APIs resultam em problemas de versão e documentação. Além disso, as APIs estão sujeitas a fraudes e comportamentos maliciosos.
A F5 ainda diz que as APIs externas devem ser validadas continuamente, de forma a provar sua confiabilidade. Outro problema é que as chaves internas da API podem ser comprometidas, dando aos invasores acesso à infraestrutura crítica.
Por que as APIs vão aumentar tanto?
De acordo com a F5, os fatores que aumentam o volume das APIs são:
- A falta de padrões globais resulta em problemas de interoperabilidade, levando à criação de várias APIs com a mesma função.
- A maioria das empresas está evoluindo para arquiteturas de microsserviços, que por natureza resultam em dezenas de APIs.
- O desenvolvimento contínuo de software resulta no lançamento frequente de novas versões de API.
- As empresas criam novas APIs para permitir a integração entre sistemas, programas ou aplicações internas.
- As unidades de negócios isoladas geralmente adotam abordagens de API separadas.
- Os modelos de negócios de computação de Borda (edge computing) e tudo como serviço impulsionam a criação de ainda mais APIs e em mais locais.
A F5 diz que há algumas soluções para o volume de APIs. Soluções como gateways de API, controladores de ingresso e proxies secundários podem permitir o gerenciamento altamente eficaz de arquiteturas de API dentro do cluster. No entanto, ainda são insuficientes para gerenciar a proliferação de APIs entre clusters.
Para resolver a proliferação de APIs em vários clusters, as empresas exigem uma única fonte de verdade que rastreie todas as APIs, a versão e documentação adequadas, além de comprovar a conectividade de API para API e o monitoramento uniforme da confiabilidade. Com as APIs abrindo novos vetores de ameaças, as empresas precisam reconhecer o risco que representam e fazer da confiança uma métrica para terceiros que acessam suas APIs.
FONTE: IP NEWS