KuppingerCole 2025: Por que a Thales é Líder de Mercado em Segurança de APIs

0 0

Por Lebin Cheng

As APIs são a espinha dorsal das aplicações modernas, conectando microsserviços críticos e permitindo que as empresas transformem dados em lógica de negócios contextualizada por meio de IA em seus serviços digitais. À medida que as aplicações se tornam mais contextuais, as APIs expõem dados, fluxos de trabalho e interações de modelos que se tornam alvos de ataques — tornando-se a principal superfície de ataque das empresas.

O Leadership Compass: API Security & Management (2025), da KuppingerCole, mapeia o cenário de fornecedores e as capacidades necessárias — desde a descoberta contínua até a proteção em tempo de execução e controles compatíveis com GenAI — para reduzir riscos em todo o ciclo de vida das APIs. Se você está avaliando ferramentas de segurança de API ou planejando um PoC, este relatório é o ponto de partida.

Por que você deve ler (especialmente se é novo em segurança de APIs)

Se você é responsável por construir, operar ou proteger aplicações modernas, este relatório é uma forma rápida e confiável de:

• Entender o novo cenário de ameaças às APIs (de prompt injection ao abuso de lógica de negócios).
  Acessar uma matriz independente de líderes e mapas de capacidades de fornecedores para criar uma shortlist objetiva.
  Obter um checklist prático de PoC que ajuda a testar precisão de descoberta, aplicação de políticas e comportamento de falsos positivos antes da compra.

Principais descobertas — o que realmente importa

• APIs são a base da transformação de IA das aplicações. A maioria dos riscos relacionados à IA (prompt injection, vazamento de dados, uso indevido de modelos) aparece por meio de APIs inseguras — logo, protegê-las é a primeira linha de defesa para IA.
  
• Ataques à lógica de negócios estão crescendo. Os invasores exploram cada vez mais o comportamento intencional das APIs (BOLA/BFLA), em vez de apenas bugs de código — a detecção deve focar em intenção e fluxos de negócios.
  
• APIs shadow e zumbis ampliam riscos. Endpoints esquecidos ou não documentados criam uma superfície de ataque enorme e sem gestão; a descoberta precisa ser contínua e classificada por risco.
  
• A proteção deve abranger todo o ciclo de vida. Testes “Shift-Left” em CI/CD + aplicação em tempo real (“Shift-Right”) e análise forense são ambos necessários — apenas uma etapa não basta.
  
• Plataformas integradas vencem. Empresas preferem plataformas que combinem descoberta, proteção em tempo real, análises e governança — em vez de um mosaico de ferramentas isoladas.

Por que a Imperva é reconhecida como líder de mercado em segurança de APIs?

A KuppingerCole lista a Imperva entre os Overall Leaders em API Security & Management, e sua análise de produto explica os motivos. A plataforma da Imperva foi projetada para proteger aplicações web e APIs em um único plano de controle — uma grande vantagem nos ambientes distribuídos e multi-gateway atuais.

Destaques apontados pelos analistas:

• WAF unificado + proteção de APIs: políticas e aplicação consistentes entre apps web e APIs — menos fricção operacional e maior cobertura.
  
• Descoberta e classificação contínuas: detecção via ML que identifica APIs internas, externas, shadow e zumbis, classificando por risco e sensibilidade dos dados.
  
• Proteção e testes orientados a schemas: aplicação de OAS em tempo real, avaliação automática de especificações e geração de testes de segurança a partir das APIs descobertas.
  
• Bloqueio em linha + Attack Analytics: aplicação em tempo real com correlação de incidentes via ML, transformando eventos ruidosos em incidentes priorizados e sugestões automáticas de políticas.
  
• Integração nativa com proteção contra bots: detecção e mitigação de bots integrada, bloqueando stuffing de credenciais, scraping e abuso de APIs sem ferramentas adicionais.
  
• Processamento transparente e controles de privacidade: políticas granulares de tratamento de dados e opções de residência que ajudam a atender requisitos de conformidade e privacidade.

O que isso significa para você: A Imperva oferece um plano de controle único para aplicar políticas de forma consistente entre apps web e APIs, com a cadeia descoberta → aplicação → análise necessária para proteger endpoints expostos a IA em produção.

Guia rápido — 3 próximos passos

1. Execute uma descoberta agora: escaneie gateways, clusters e pipelines de CI para criar um inventário — marque primeiro as APIs de alto risco (pagamentos, PII, integrações de IA). Busque descoberta contínua, não apenas um scan único.
   
2. Monitore APIs de alto risco primeiro: use telemetria e detecção de ataques para estabelecer baseline de tráfego e identificar abusos, aplicando proteções específicas (rate limits, autenticação, regras de bots e lógica).
   
3. Desenhe um PoC focado: use o checklist do relatório para medir precisão da descoberta, latência de aplicação, taxa de falsos positivos e MTTD/MTTR — compare fornecedores com base nessas métricas objetivas.

Palavra final — proteger APIs é proteger IA

As APIs são o ponto de interseção entre seus dados, lógica de negócios e modelos de IA — e é justamente aí que os atacantes vão continuar tentando explorar. O Leadership Compass 2025 da KuppingerCole elimina o hype com orientações práticas e fundamentadas em análise.

Baixe o relatório KuppingerCole Leadership Compass 2025 – API Security & Management para acessar a matriz de líderes, perfis detalhados de fornecedores (incluindo Imperva) e o checklist de PoC que vai ajudar você a proteger todo o ciclo de vida das APIs.

Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.