Segurança da API impede o lançamento de novos aplicativos. 66% das organizações admitem ter retardado a implementação de um novo aplicativo em produção por causa de preocupações com a segurança da API , revela um relatório do Salt Security.
Além disso, 54% das organizações que executam APIs de produção têm, na melhor das hipóteses, apenas uma estratégia básica para segurança de API, com 27% sem estratégia alguma.
“Na economia digital de hoje, as APIs são a porta de entrada direta para os dados e ativos mais críticos das organizações. Construídas para capacitar clientes e parceiros, essas APIs criam riscos, pois também fornecem um caminho a ser seguido pelos invasores. Conforme as APIs aumentaram em volume e funcionalidade, tornaram-se alvos cada vez mais atraentes para os hackers, aumentando o número e a sofisticação dos ataques de API ”, disse Roey Eliyahu , CEO da Salt Security .
“Compilamos o primeiro Relatório de Segurança do Estado da API do setor para entender melhor a experiência empresarial das APIs hoje. O estudo deixa claro que as abordagens atuais das empresas para proteger APIs têm lacunas que as colocam em risco. Ele também destaca como as organizações precisam de novas abordagens para a segurança de API se quiserem continuar a inovar com segurança e permanecer competitivas. ”
A maioria das organizações experimentou um incidente de segurança de API no ano passado
Os entrevistados identificaram problemas de segurança de API encontrados nas APIs de produção de suas organizações, e 91% tiveram problemas no ano passado. Vulnerabilidades (54%) e problemas de autenticação (46%) lideraram a lista, seguidos por bot / scraping (20%) e ataques DoS (19%).
Encontrar uma vulnerabilidade em uma API de produção significa que a verificação de pré-produção, embora crucial, não pode impedir que as vulnerabilidades cheguem aos lançamentos de produção.
O que é ainda mais alarmante é que os dados do cliente Salt mostraram que o número de ataques de API por mês por cliente aumentou de 50 em junho passado para quase 80 em dezembro. Dada a taxa de incidentes, não é surpreendente ver que 66% das empresas atrasaram as implementações.
WAFs e gateways de API não podem impedir ataques de API
Cada cliente do Salt tem WAFs e gateways de API, e cada cliente do Salt também experimentou vários ataques por mês. Portanto, os ataques de API estão rotineiramente ultrapassando essas ferramentas.
Essa descoberta é menos surpreendente, dado que WAFs e gateways de API falharam em 90% dos testes das 10 principais ameaças de segurança de API do OWASP. Mais chocante, no entanto, é que 9% dos entrevistados admitiram que não conseguem identificar ataques de API.
Organizações que executam APIs de produção não têm estratégia de segurança de API
Com o surgimento do DevOps, as equipes de segurança frequentemente precisam se atualizar, com mais de um quarto das organizações executando aplicativos essenciais baseados em API sem estratégia de segurança e outros 27% das organizações tendo apenas uma estratégia básica para segurança de API.
Além disso, embora mais de dois terços dos entrevistados observem que as equipes de segurança têm destacado as 10 principais ameaças de segurança da API OWASP , as equipes ainda não têm um plano em vigor para proteger as APIs.
83% das organizações não têm confiança em seu inventário de API
As organizações estão usando uma ampla gama de técnicas de documentação de API e, ainda assim, apenas 16% dos entrevistados estão muito confiantes de que seu inventário de API está completo. A maioria das abordagens comuns de hoje depende de humanos para fornecer uma visão completa das APIs, deixando a documentação da API incompleta como resultado da velocidade de novos desenvolvimentos e mudanças na API.
Outras descobertas importantes
- O tráfego de API está crescendo, mas o tráfego de API malicioso está crescendo mais rápido. O volume mensal de chamadas de API dos clientes cresceu 51%, enquanto a porcentagem de tráfego malicioso cresceu 211%.
- 80% das organizações não acreditam que suas ferramentas de segurança podem impedir ataques de API de forma eficaz.
- 82% das organizações não têm confiança em saber detalhes da API, como PII exposto, que pode incluir CPNI, PHI, dados do titular do cartão e outras informações confidenciais. 22% das organizações admitem que não têm como saber quais APIs expõem PII.
- APIs desatualizadas e zumbis apresentam o maior risco percebido. APIs Zombie, APIs mais antigas ou aquelas que devem ter vida curta, apresentam um risco especial porque as organizações presumem que foram desativadas.
- As abordagens atuais de segurança da API dependem muito das fases do ciclo de vida de pré-produção. Mais da metade das organizações não aplicam proteção de segurança de API em tempo de execução.
Fonte HelpNet Security
Veja também:
- Worm você sabe o que é? worm não é mesmo que WORM.
- LGPD e cibersegurança para locadoras online
- IA e cibersegurança: por que apostar nessa dupla?
- Hackers da SolarWinds continuam visando a cadeia de suprimentos de TI
- O que é um ataque de watering hole?
- Cibersegurança importância, ameaças e benefícios
- Senado inclui proteção de dados pessoais como direito fundamental na Constituição
- O relógio da Segurança da Informação está correndo
- Como realizar um Penetration Testing no modo Blackbox ?
- Ataque e ransomware para operações da Atento no Brasil
- FontOnLake novo malware atacando sistemas Linux
- Azure se defende do o maior ataque DDoS de todos os tempos
Deixe sua opinião!