0
0
75% das organizações normalmente mudam ou atualizam suas APIs diariamente ou semanalmente, criando um desafio significativo para proteger a superfície de ataque de API em mudança, de acordo com o Data Theorem e o ESG.
APIs inseguras atormentam organizações
Em uma descoberta relacionada, os resultados do estudo também revelaram que a maioria (92%) das organizações experimentou pelo menos um incidente de segurança relacionado a APIs inseguras nos últimos 12 meses, enquanto a maioria das organizações (57%) experimentou vários incidentes de segurança relacionados a APIs inseguras durante o ano passado.
Para reunir dados para este relatório, o ESG entrevistou 397 entrevistados de organizações dos setores público e privado na América do Norte (EUA e Canadá) em TI (38%), Segurança (30%) e Desenvolvimento de Aplicativos (32%) sobre questões, desafios e tendências em torno de aplicativos nativos da nuvem e segurança de API. A maioria dos entrevistados (64%) era de organizações com 1.000 ou mais funcionários, enquanto 36% eram de organizações com 100 a 999 funcionários.
Desafios de segurança no ciclo de desenvolvimento de CI/CD
Para abordar essas preocupações de segurança de API, o estudo descobriu que as principais abordagens em que as organizações aumentarão seus gastos nos próximos 12-18 meses são ferramentas de segurança de API (45%), Plataformas de Proteção de Aplicativos Nativas da Nuvem – CNAPPs (43%) e ferramentas integradas de segurança de aplicativos e segurança de API (41%). O estudo também descobriu que o desafio de segurança mais citado que as organizações enfrentam com ciclos de desenvolvimento mais rápidos de CI/CD é que a segurança carece de visibilidade e controle nos processos de desenvolvimento (41%).
O segundo desafio de segurança mais citado com ciclos de desenvolvimento mais rápidos de CI/CD é que novas compilações são implantadas em produção com configurações incorretas, vulnerabilidades e outros problemas de segurança (40%), seguido por desenvolvedores ignorando processos de segurança (39%) e software lançado sem verificações de segurança e/ou testes (38%).
“Não é surpresa que a maioria das organizações esteja enfrentando incidentes de segurança relacionados à API”, disse Melinda Marks, analista sênior do Enterprise Strategy Group. “Os ciclos de desenvolvimento modernos trazem lançamentos e atualizações de produtos mais rápidos e frequentes, e o número crescente de APIs que mudam diariamente e semanalmente torna imperativo lidar com a superfície de ataque em mudança. Essa rápida taxa de mudança também cria APIs de sombra e APIs zumbis, que podem ser as APIs favoritas dos hackers para explorar, porque as organizações muitas vezes não as conhecem.”
Exposição de dados e falhas no controle de acesso
O estudo também descobriu que os tipos de vulnerabilidades de API de maior preocupação para as organizações são exposição de dados confidenciais devido à ausência de SSL ou TLS (34%), vulnerabilidades de controle de acesso baseado em atributos (ABAC) e falhas de lógica de negócios de API (ambas com 31%) e ataques distribuídos de negação de serviço – DDoS (30%).
“De acordo com o ESG, com a esmagadora maioria (80%) das organizações relatando que todos ou a maioria de seus aplicativos nativos da nuvem usam APIs hoje, e uma maioria semelhante (75%) das organizações normalmente mudando ou atualizando suas APIs pelo menos semanalmente, a segurança nativa da API e da nuvem continua sendo uma questão crítica para as organizações hoje”, disse Doug Dooley, COO da Data Theorem.
“A boa notícia que a pesquisa mostra é que duas abordagens de segurança – ferramentas de segurança de API e CNAPPs – parecem ser as opções mais promissoras para ajudar as organizações a reduzir suas vulnerabilidades a ataques, e as organizações estão tomando medidas nos próximos 12 a 18 meses para proteger melhor seus aplicativos e dados. O Teorema de Dados está em uma posição ideal para fornecer às organizações soluções de segurança de API e CNAPP”, concluiu Dooley.
FONTE: HELPNET SECURITY