0
0
A Noname Security anunciou as descobertas de seu relatório de segurança da API, “The API Security Disconnect – API Security Trends in 2022”, que revelou um número crescente de incidentes de segurança da API , relacionados à falta de visibilidade da API e um nível de confiança equivocada nos controles existentes .
76% dos entrevistados sofreram um incidente de segurança de API nos últimos 12 meses, sendo esses incidentes causados principalmente por APIs inativas/zumbis, vulnerabilidades de autorização e firewalls de aplicativos da Web.
Além disso, 74% dos profissionais de segurança cibernética não possuem um inventário completo de APIs ou sabem quais APIs retornam dados confidenciais.
Isso implica que a maioria dos entrevistados terá dificuldades para remediar quaisquer ameaças à segurança da API – e não saberá qual priorizar – se não tiver visibilidade granular em tempo real das APIs em seus ecossistemas.
Outras descobertas importantes incluem:
- 71% estavam confiantes e satisfeitos de que estavam recebendo proteção API suficiente.
- 48% dos entrevistados têm visibilidade da postura de segurança das APIs ativas.
- Apenas 11% dos entrevistados testam APIs em busca de sinais de abuso em tempo real.
- 39% testam menos de uma vez por dia e até uma vez por semana.
- 67% dos entrevistados estão confiantes de que suas ferramentas DAST e SAST são capazes de testar APIs.
Shay Levi , CTO de segurança da Noname , comenta as descobertas: “Nossa pesquisa expôs uma desconexão entre o alto nível de incidentes, baixos níveis de visibilidade, monitoramento e teste eficazes do ambiente da API e confiança equivocada de que as ferramentas atuais estão impedindo ataques. Isso enfatiza a necessidade de mais educação por parte das equipes de segurança, AppSec e desenvolvimento sobre as realidades dos testes de segurança da API.”
Setores baseados em legado lutam para acompanhar os testes de segurança da API
Setores de infraestrutura crítica , como manufatura e energia e serviços públicos, que normalmente dependem de sistemas legados, tiveram uma classificação desfavorável quando medidos em várias métricas. Eles foram os piores na porcentagem de incidentes de segurança de API nos últimos 12 meses, com 79% da fabricação e 78% dos entrevistados de energia e serviços públicos dizendo ter sofrido incidentes, dos quais estavam cientes.
As empresas de energia e serviços públicos também foram as menos propensas a ter um inventário completo de APIs e saber quais retornam dados confidenciais, com apenas 19% de confiança sobre esse problema. As organizações de manufatura acharam mais difícil dimensionar as soluções de segurança de API, com apenas 30% dizendo que acharam fácil. Além disso, os testes em tempo real foram os mais baixos em energia e serviços públicos (7%), enquanto manufatura e energia e serviços públicos foram mais propensos a realizar testes de segurança de API com menos frequência do que uma vez por mês, com 20% e 21% fazendo isso, respectivamente.
A relativa falta de testes nesses setores de infraestrutura crítica se correlaciona com o número de incidentes de segurança de API que sofreram nos últimos 12 meses. Isso enfatiza a necessidade de que os padrões sejam elevados em setores onde informações de identificação pessoal e propriedade intelectual possam ser apreendidas por agentes mal-intencionados, muito menos onde a infraestrutura física e os serviços vitais estão em risco.
Reino Unido e EUA diferem na visibilidade e nos relatórios da API
Houve uma série de diferenças em relação ao monitoramento e visibilidade das APIs entre os dois países pesquisados, especialmente quando se trata de relatórios em tempo real. Mais entrevistados do Reino Unido (28%) têm inventários completos de API e sabem quais retornam dados confidenciais, em comparação com os EUA (24%).
Além disso, um número maior de entrevistados nos EUA (44%) teve visibilidade de seu inventário completo de APIs, mas não estava ciente daqueles que retornavam dados confidenciais, em comparação com 38% no Reino Unido. Isso pode sugerir que as organizações dos EUA estão mais preocupadas com o crescimento impulsionado por APIs do que com a proteção das APIs existentes.
Disparidade na abordagem de segurança da API entre funções de trabalho
As respostas das equipes de segurança de aplicativos (AppSec) parecem diferir consideravelmente de outras funções de trabalho pesquisadas. Em comparação com 81% dos CISOs que disseram ter sofrido um incidente de segurança de API, apenas 53% dos profissionais da AppSec disseram que tiveram. Além disso, 58% dos CIOs disseram que era fácil dimensionar soluções de segurança de API, enquanto quase um terço (29%) dos entrevistados da AppSec admitiram que isso era difícil.
Em termos de testes, apenas 7% dos profissionais da AppSec testaram em tempo real sinais de abuso, enquanto 25% afirmaram que testam vulnerabilidades de segurança da API menos de uma vez por semana e até uma vez por mês.
“A priorização contínua das iniciativas de transformação digital está introduzindo um número maior de aplicativos – e, portanto, APIs – nos ecossistemas das organizações”, acrescentou Levi.
“As lacunas percebidas em torno dos testes de segurança da API entre diferentes funções de trabalho levantam a questão de saber se há falta de consistência entre as organizações sobre o que está acontecendo na linha de frente. Isso precisa ser resolvido com urgência; o desenvolvimento de aplicativos precisa adotar uma abordagem de ‘deslocamento à esquerda’ para testes de segurança, para que os testes sejam realizados antes da produção e as equipes precisem ser educadas sobre os benefícios de fazer isso.
“Vimos de empresas como Gartner que as APIs estão rapidamente se tornando o vetor de ataque mais popular. Nossa pesquisa demonstra que, se as empresas não abordarem as vulnerabilidades de segurança e a ampliação da superfície de ataque apresentada por um número crescente de APIs, sua capacidade de inovar e oferecer soluções amigáveis ao usuário final será sufocada por ataques cibernéticos potencialmente debilitantes”, concluiu Levi.
FONTE: HELPNET SECURITY