Os maiores sinais de alerta de segurança de API
Falhas de segurança de API agora são comuns e públicas. Aplicativos de IA e ecossistemas interconectados estão aumentando o risco e a complexidade. Não é por acaso que os invasores passaram a atacar endpoints de API.
As empresas precisam reavaliar sua estratégia de segurança de API para garantir que estejam prontas para defender seus aplicativos baseados em API. Mas por onde começar?
Neste infográfico, analisamos os cinco principais sinais de alerta de segurança de API que toda organização deve conhecer. Ao entender melhor esses sinais, as empresas podem reconhecer os principais riscos e lidar com eles proativamente para melhorar sua abordagem holística à segurança de API.
Clique nas guias para saber mais sobre os sinais de alerta de segurança da API
-
Bandeira 1
-
Bandeira 2
-
Bandeira 3
-
Bandeira 4
-
Bandeira 5
Você não sabe onde estão todas as suas APIs
- A proliferação de APIs é assustadoramente generalizada. De acordo com o Guia de Avaliação de Soluções de Segurança de API da Datos , o número de APIs em uso até 2030 excederá 2 bilhões, com organizações já usando mais de 20.000 APIs em média.
- Os endpoints da API representam um desafio único. De acordo com o Relatório de Estratégia de Aplicação de 2024 da F5, “uma API individual pode ter dezenas ou centenas de endpoints”. Para complicar ainda mais as coisas, uma organização pode não controlar totalmente todas as APIs que fazem contato com seus sistemas.
- O relatório State of the API de 2023 do Postman identificou os seguintes obstáculos ao consumo de APIs:
- Falta de documentação (52%)
- Dificuldade em descobrir APIs (32%)
Há ambiguidade na superfície de ataque da sua organização
- O Guia de Avaliação da Solução de Segurança da API Datos explica o problema principal: “A enumeração da superfície de ataque da API é essencial para proteger as APIs. Os CISOs não podem proteger o que não é conhecido. A descoberta de API é necessária para identificar APIs obscuras, órfãs, desatualizadas e desatualizadas.”
- As APIs são cruciais para qualquer negócio moderno. Conforme descrito pela Venture Beat , “as APIs são responsáveis por 91% de todo o tráfego da web e se encaixam na tendência de arquiteturas de microsserviços e na necessidade de responder dinamicamente às condições de mercado em rápida mudança”.
- E por desempenharem um papel fundamental, as APIs são um alvo popular para criminosos cibernéticos. 90% dos ataques cibernéticos baseados na web têm como alvo endpoints de API e o número de registros de ataques de origem de API comprometidos ultrapassou 1 bilhão.
Sua pilha de segurança é muito complexa
- Os aplicativos e APIs atuais estão sendo implantados em um cenário híbrido e multinuvem. Conforme relatado no Relatório de Estratégia de Aplicação de 2024, quase 90% das organizações estão operando em modelos de implantação híbrida, incluindo SaaS, nuvem pública/IaaS, local (tradicional), local (nuvem privada), colocation e edge.
- Do mesmo relatório : o número de organizações que operam em seis modelos diferentes aumentou quase 20% de 2023 para 2024.
- 66% das grandes empresas (com mais de 10.000 funcionários) normalmente usam de 60 a 80 ferramentas de segurança , em parte devido às ferramentas dedicadas necessárias para atender a necessidades específicas em vários ambientes de nuvem.
Manter sua postura de segurança é muito manual
- Com tantas APIs e endpoints, atualizações manuais de segurança não são sustentáveis. Automatizar a proteção de API pode reduzir drasticamente a necessidade de atualizações manuais, conforme demonstrado neste estudo de caso da McGraw Hill que documenta seus esforços para reduzir a complexidade do gerenciamento de 18 milhões de solicitações mensais de API.
- Os entrevistados da pesquisa State of Application Strategy relatam que a aplicação manual de patches e atualizações não é rápida o suficiente ao responder a ataques de dia zero, com muitos tomadores de decisão relatando que o alto custo de ataques bem-sucedidos torna a automação da segurança de aplicativos e APIs essencial. Para isso, a automação de aplicativos e APIs aumentou de 33% para 43% no ano passado. O número de CVEs publicados está aumentando, e os pesquisadores do F5 Labs esperam que 500 novos CVEs sejam publicados em uma semana típica em 2025.
- A crescente adoção de IA generativa também tem implicações para a segurança de aplicativos e APIs; o principal caso de uso de IA generativa em segurança é o ajuste automático de políticas de segurança e a geração de configurações de segurança em ameaças detectadas.
Você está preocupado em proteger aplicativos de IA
- A proteção da IA generativa começa com uma base de boa segurança de aplicativos e APIs. Isso é descrito sucintamente por Mete Atamel , defensor do desenvolvimento de nuvem do Google: “Não importa como você esteja usando a IA de geração, no final das contas, você está chamando um endpoint com um SDK, uma biblioteca ou por meio de uma API REST.”
- Dois meses após o lançamento da OpenAI GPT Store , os usuários já criaram mais de 3 milhões de versões personalizadas do ChatGPT, demonstrando a escala do desafio de segurança associado à proteção de provedores terceirizados.
- O IDC relata que “66% dos entrevistados apontam a GenAI e, de modo geral, as cargas de trabalho de IA públicas e privadas, como um dos seus principais casos de uso”. Eles descobriram que “a maioria dos aplicativos empresariais com tecnologia de IA são altamente distribuídos em sua implementação, exigindo de 10 a 100 interações de API que precisam atravessar um conjunto diversificado de nuvem pública, nuvem especializada e ambientes de infraestrutura e aplicativos locais de maneira altamente disponível e segura. Os pesquisadores da F5 também descobriram que a maioria das organizações prevê a implantação de aplicativos de IA em ambientes híbridos e multinuvem, com os entrevistados da pesquisa State of Application Strategy indicando que manteriam aplicativos de IA na nuvem pública (80%) e no local (54%).
Saiba como a F5 pode ajudar a melhorar a abordagem holística da sua organização em relação à segurança de API .