O conteúdo deste post é de responsabilidade exclusiva do autor. A AT&T não adota nem endossa nenhuma das opiniões, posições ou informações fornecidas pelo autor neste artigo.
Nos últimos anos, as APIs se tornaram rapidamente um elemento estratégico fundamental para as empresas que desejam expandir e ter sucesso em suas respectivas indústrias. De fato, de acordo com pesquisas recentes, 97% dos líderes empresariais acreditam que executar com sucesso uma estratégia de API é essencial para garantir o crescimento e a receita de suas organizações. Essa mudança levou a uma grande proliferação de APIs, com as empresas contando com centenas ou até milhares de APIs para oferecer suas ofertas de tecnologia, aprimorar seus produtos e aproveitar dados de várias fontes.
No entanto, com esse crescimento, as empresas abriram a porta para um aumento de riscos. Em 2021, a Gartner previu que as APIs se tornariam o principal vetor de ataque. Agora, dois anos e vários ataques notáveis via APIs depois, é difícil (ou melhor, impossível) discordar disso.
As tendências de segurança moldando o cenário das APIs
Um dos maiores vetores de ameaça quando se trata de APIs é que elas são notoriamente difíceis de proteger. O ecossistema de API está em constante evolução, com as empresas produzindo um grande número de APIs de maneira que supera a maturidade das ferramentas de segurança de rede e aplicativos. Muitas novas APIs são criadas em plataformas e arquiteturas emergentes e hospedadas em vários ambientes de nuvem. Isso torna medidas de segurança tradicionais, como firewalls de aplicativos da web e gateways de API, ineficazes, uma vez que não conseguem atender aos requisitos de segurança exclusivos das APIs.
Para os atores maliciosos, a falta de medidas de segurança disponíveis para APIs significa que elas são mais fáceis de comprometer do que outras tecnologias que dependem de arquiteturas e ambientes tradicionais (e seguros). Dado que muitas empresas fizeram um grande investimento em seu ecossistema de API e tornaram as APIs fundamentais para suas operações, um ataque a uma API pode ser bastante impactante. Portanto, se um criminoso cibernético obtém acesso a uma API que lida com dados sensíveis, eles podem causar danos financeiros e de reputação significativos.
Ao mesmo tempo, muitas empresas têm visibilidade limitada em seu inventário de APIs. Isso significa que pode haver numerosas APIs não gerenciadas e “invisíveis” no ambiente de uma empresa, o que torna cada vez mais difícil para as equipes de segurança entender o escopo completo da superfície de ataque, identificar onde os dados sensíveis estão expostos e alinhar adequadamente as proteções para prevenir uso indevido e ataques.
Diante dessas tendências, não é surpresa que a Salt Security tenha relatado recentemente um aumento de 400% nos ataques de API nos meses que antecederam dezembro de 2022. Infelizmente, garantir que as APIs sejam protegidas com mecanismos de autenticação não é suficiente para dissuadir os atores maliciosos. Os dados mostram que 78% desses ataques vieram de usuários aparentemente legítimos que de alguma forma conseguiram obter autenticação adequada de maneira maliciosa.
Em um nível mais detalhado, 94% dos respondentes do relatório tiveram um problema de segurança com suas APIs de produção no último ano. 41% citaram vulnerabilidades e 40% observaram problemas de autenticação. Além disso, 31% tiveram exposição de dados sensíveis ou um incidente de privacidade, e, com o custo médio de uma violação de dados atualmente em US$ 4,45 milhões, isso representa um risco financeiro significativo. Relacionadamente, 17% dos respondentes sofreram uma violação de segurança por meio de uma de suas APIs.
A segurança de API está ficando para trás
Embora a segurança de API esteja se tornando cada vez mais uma necessidade para as equipes de liderança – o relatório da Salt indicou que pelo menos 48% das equipes de nível C estão discutindo o assunto – ainda há um longo caminho a percorrer antes que ela se torne uma prioridade para todos. As equipes de segurança ainda enfrentam várias preocupações quando se trata de segurança de API, incluindo APIs desatualizadas ou inativas, desafios de documentação (que são comuns dada a taxa constante de mudanças que as APIs experimentam), exfiltração de dados e sequestro ou uso indevido de contas.
A verdade é que a maioria das estratégias de segurança de API ainda está em sua infância. Apenas 12% dos respondentes da Salt Security foram capazes de dizer que têm estratégias avançadas de segurança, incluindo testes de API e proteção em tempo de execução. Enquanto isso, 30% admitiram não ter uma estratégia atual de API, mesmo que tenham APIs em produção.
Próximos passos com a segurança de API
Com a dependência de APIs em alta e os resultados críticos dos negócios dependendo delas, é ainda mais imperativo que as organizações desenvolvam e implementem uma estratégia sólida de segurança de API. Essa estratégia deve incluir etapas para documentação robusta e atualizada, visibilidade clara de todo o inventário de API, design e desenvolvimento seguro de API e testes de segurança que considerem lacunas na lógica de negócios. Para APIs em produção, deve haver monitoramento contínuo e registro, ferramentas de mediação, como gateways de API, para melhorar a visibilidade e segurança, a capacidade de identificar e registrar desvios de API e implantação de proteção em tempo de execução, entre outros.
À medida que as empresas continuam a aproveitar o poder das APIs, é responsabilidade delas adotar e implementar uma estratégia sólida de segurança de API. Somente assim as empresas serão capazes de reduzir o potencial de ameaças das APIs e contradizer a previsão da Gartner.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.