0
0
As empresas dos EUA enfrentam um total de US$ 12 bilhões a US$ 23 bilhões em perdas em 2022 devido a compromissos ligados às interfaces de programação de aplicativos da Web (APIs), que proliferaram com o aumento da adoção de serviços em nuvem e metodologias de desenvolvimento no estilo DevOps, de acordo com uma análise de dados de violação.
Na última década, a segurança da API cresceu e se tornou um problema significativo de segurança cibernética. Reconhecendo isso, o Open Web Security Application Project (OWASP) lançou uma lista dos 10 principais problemas de segurança da API em 2019, sinalizando os principais pontos fracos da API – como autorização quebrada para objetos, autenticação fraca do usuário e exposição excessiva de dados – como problemas críticos para fabricantes de software e empresas que dependem de serviços em nuvem.
De acordo com o relatório Quantifying the Cost of API Insecurity divulgado esta semana, publicado na semana passada pela empresa de segurança de aplicativos Imperva e pela empresa de estratégia de risco Marsh McLennan, os problemas de segurança provavelmente só crescerão à medida que as APIs continuarem a se tornar um padrão comum para a nuvem e a infraestrutura móvel.
“Os crescentes riscos de segurança associados às APIs se correlacionam com a proliferação de APIs”, diz Lebin Cheng, vice-presidente de segurança de APIs da Imperva. “O volume de APIs usadas pelas empresas está crescendo rapidamente – quase metade de todas as empresas tem entre 50 e 500 implantadas, interna ou publicamente, enquanto algumas têm mais de mil APIs ativas.”
Curiosamente, as perdas de negócios têm menos a ver com problemas específicos da API, descobriu a análise. Em vez disso, a recuperação de violações e a interrupção das operações são responsáveis pela maioria das perdas cibernéticas. Apenas um pequeno subconjunto de empresas em qualquer país sofreu perdas diretamente ligadas às vulnerabilidades da API, descobriu o relatório.
As perdas da API variam de acordo com o segmento de negócios
Os dados de Marsh McLennan vêm de violações relatadas, o que representa um subconjunto de todos os negócios. Ele descobriu que, ao detalhar os dados, diferenças importantes entre o impacto podem ser extraídas.
Por exemplo, certos tipos de empresas (empresas maiores em TI e serviços profissionais, por exemplo) são muito mais propensos a enfrentar incidentes de segurança relacionados a API do que outras (empresas menores, digamos, no setor financeiro).
“Os US$ 12 bilhões não são distribuídos por milhões de empresas”, disse um porta-voz de Marsh McLennan. “O número de empresas violadas, especialmente devido à insegurança da API, é consideravelmente menor.”
Pequenas empresas enfrentam o maior número absoluto de eventos de segurança de API, com a maioria dos incidentes afetando empresas com menos de US$ 50 milhões em receita. No entanto, os incidentes relacionados à API representaram apenas cerca de 5% do número total de incidentes de segurança. Por outro lado, grandes empresas com mais de US$ 50 bilhões em receita correm um risco muito maior de violações relacionadas a APIs, com pelo menos 20% de seus eventos de segurança envolvendo APIs.
Até certo ponto, o aumento do risco para grandes empresas se deve ao crescimento da área de ataque causado por APIs, mas empresas maiores também são alvos mais atraentes, diz Cheng, da Imperva.
“A proliferação de APIs, combinada com a falta de visibilidade desses ecossistemas, cria oportunidades para vazamentos de dados maciços e caros”, diz ele. “Estas são questões que se dimensionam de acordo com o tamanho de uma organização. Organizações maiores têm mais APIs em produção, e a visibilidade limitada deixa um número maior de APIs vulneráveis. Isso torna as empresas um alvo atraente.”
Da mesma forma, as empresas na Ásia tiveram pouco mais de 100 eventos combinados de segurança de API, e as empresas dos EUA tiveram mais de 600 eventos de segurança de API. O grande número de eventos de segurança relatados em geral nos Estados Unidos resultou em incidentes de API que representaram uma parcela muito menor da torta – cerca de 5% em comparação com mais de 15% para a Ásia.
Como lidar com as preocupações de segurança da API
Ao contrário de outros tipos de vulnerabilidades de aplicativos, as fraquezas de segurança da API geralmente exploram problemas de autorização, autenticação ou lógica de negócios. A exploração de APIs geralmente resulta em acesso a dados ou na capacidade de contornar uma verificação de autorização, diz Cheng.
Para evitar isso, as empresas precisam ganhar visibilidade de como estão usando APIs e criar um inventário completo do tráfego de API em sua rede, diz ele.
“Os incidentes de segurança relacionados à API são ataques sofisticados que usam um token de API válido para explorar uma vulnerabilidade na lógica de negócios para acessar a camada de dados”, diz Cheng. “Sem a visibilidade correta do esquema da API ou das alterações que estão sendo feitas no esquema, as organizações muitas vezes não sabem se uma API está comprometida ou quais dados são filtrados através da API comprometida.”
Os ataques de API geralmente formam o vetor de acesso inicial para uma campanha maior, portanto, embora a intrusão inicial possa parecer não crítica, o resultado final pode ser um compromisso generalizado, diz Cheng.
“O abuso de API geralmente faz parte de uma campanha maior que envolve fraude on-line, como aquisição de conta ou raspagem automatizada”, diz ele. “As organizações precisam de proteção contra uma série de ataques que um criminoso pode usar para abusar da API e acessar os dados subjacentes. Se a organização está focada apenas em proteger o endpoint da API, ela está ignorando os ataques à lógica do aplicativo e/ou de negócios.”
FONTE: DARK READING