0
0
Imperva divulgou um novo estudo que revela os custos globais crescentes de APIs vulneráveis ou inseguras. A análise de quase 117.000 incidentes exclusivos de segurança cibernética estima que a insegurança da API resulte em US$ 41 a US$ 75 bilhões em perdas por ano.
O estudo, realizado pelo Marsh McLennan Cyber Risk Analytics Center, descobriu que organizações maiores eram estatisticamente mais propensas a ter uma porcentagem maior de incidentes relacionados à API. Na verdade, as empresas com receitas de pelo menos US$ 100 bilhões eram 3-4 vezes mais propensas a experimentar insegurança de API do que as pequenas ou médias empresas. Os dados sugerem que as grandes empresas são particularmente vulneráveis aos riscos de segurança associados a APIs expostas ou desprotegidas à medida que essas organizações maduras aceleram a transformação digital.
Uma API é o tecido conjuntivo invisível que permite que os aplicativos compartilhem dados para melhorar as experiências e os resultados do usuário final. O volume de APIs usadas pelas empresas está crescendo rapidamente; quase metade de todas as empresas têm entre 50-500 implantadas, interna ou publicamente, enquanto algumas têm mais de mil APIs ativas.
Muitas APIs se conectam diretamente a bancos de dados de back-end onde dados confidenciais são armazenados. Como resultado, os hackers estão cada vez mais visando APIs como um caminho para a infraestrutura subjacente para exfiltrar informações confidenciais. Hoje, até 1 em cada 13 incidentes cibernéticos podem ser atribuídos à insegurança da API. À medida que o número de APIs em produção se multiplica, espera-se que esse número cresça nos próximos anos.
O estudo também descobriu disparidades substanciais entre as indústrias. TI, serviços profissionais e varejo são mais propensos a sofrer incidentes de segurança relacionados à API:
“Sem uma estratégia para lidar com a segurança da API, as empresas em todo o mundo continuarão perdendo somas incríveis anualmente”, diz Karl Triebes, vice-presidente sênior de Gerenciamento de Produtos; Gerente Geral, Segurança de Aplicativos, Imperva. “Para mitigar o crescente volume de ameaças à segurança relacionadas à API, as organizações precisam da capacidade de descobrir todas as APIs em seu ambiente e entender quais dados estão fluindo através de cada API.”
Recomendações para melhorar a segurança da API:
- Identifique e classifique os dados que fluem através de cada API: A visibilidade é crucial para entender o esquema completo de cada API, bem como para identificar e classificar os dados que fluem através dela, para que os riscos possam ser avaliados.
- Automatize a descoberta: as APIs são produzidas rapidamente e modificadas com frequência, tornando-as um ponto cego para muitas organizações. Através da automação, as organizações podem eliminar APIs desonestas ou sombra. Além disso, ao automatizar o inventário de APIs, a equipe de segurança terá visibilidade de quando os desenvolvedores modificarem APIs em produção.
- Ativar governança de API: Para organizações em setores altamente regulamentados, um modelo de governança de API é crucial. Isso só é possível com visibilidade que se estende além do ponto final da API e na carga útil subjacente, para que os dados confidenciais possam ser adequadamente protegidos.
“Na raiz de cada incidente de segurança relacionado à API estão os dados”, acrescentou Triebes. “A proteção da API requer uma mudança de mentalidade; uma que se concentre na classificação de dados e na compreensão de como os dados são acessados por todas as APIs em produção. Essa abordagem exige que as equipes de segurança e desenvolvimento trabalhem juntas para incorporar a segurança no ciclo de vida do desenvolvimento. Até lá, os cibercriminosos continuarão a explorar APIs vulneráveis para exfiltrar dados confidenciais em maiores volumes.”
FONTE: HELPNET SECURITY