Segurança da API impede o lançamento de novos aplicativos

Segurança da API impede o lançamento de novos aplicativos. 66% das organizações admitem ter retardado a implementação de um novo aplicativo em produção por causa de preocupações com a segurança da API , revela um relatório do Salt Security.

Além disso, 54% das organizações que executam APIs de produção têm, na melhor das hipóteses, apenas uma estratégia básica para segurança de API, com 27% sem estratégia alguma.

Na economia digital de hoje, as APIs são a porta de entrada direta para os dados e ativos mais críticos das organizações. Construídas para capacitar clientes e parceiros, essas APIs criam riscos, pois também fornecem um caminho a ser seguido pelos invasores. Conforme as APIs aumentaram em volume e funcionalidade, tornaram-se alvos cada vez mais atraentes para os hackers, aumentando o número e a sofisticação dos ataques de API ”, disse Roey Eliyahu , CEO da Salt Security .

Compilamos o primeiro Relatório de Segurança do Estado da API do setor para entender melhor a experiência empresarial das APIs hoje. O estudo deixa claro que as abordagens atuais das empresas para proteger APIs têm lacunas que as colocam em risco. Ele também destaca como as organizações precisam de novas abordagens para a segurança de API se quiserem continuar a inovar com segurança e permanecer competitivas.

A maioria das organizações experimentou um incidente de segurança de API no ano passado

Os entrevistados identificaram problemas de segurança de API encontrados nas APIs de produção de suas organizações, e 91% tiveram problemas no ano passado. Vulnerabilidades (54%) e problemas de autenticação (46%) lideraram a lista, seguidos por bot / scraping (20%) e ataques DoS (19%).

Encontrar uma vulnerabilidade em uma API de produção significa que a verificação de pré-produção, embora crucial, não pode impedir que as vulnerabilidades cheguem aos lançamentos de produção.

O que é ainda mais alarmante é que os dados do cliente Salt mostraram que o número de ataques de API por mês por cliente aumentou de 50 em junho passado para quase 80 em dezembro. Dada a taxa de incidentes, não é surpreendente ver que 66% das empresas atrasaram as implementações.

WAFs e gateways de API não podem impedir ataques de API

Cada cliente do Salt tem WAFs e gateways de API, e cada cliente do Salt também experimentou vários ataques por mês. Portanto, os ataques de API estão rotineiramente ultrapassando essas ferramentas.

Essa descoberta é menos surpreendente, dado que WAFs e gateways de API falharam em 90% dos testes das 10 principais ameaças de segurança de API do OWASP. Mais chocante, no entanto, é que 9% dos entrevistados admitiram que não conseguem identificar ataques de API.

Organizações que executam APIs de produção não têm estratégia de segurança de API

Com o surgimento do DevOps, as equipes de segurança frequentemente precisam se atualizar, com mais de um quarto das organizações executando aplicativos essenciais baseados em API sem estratégia de segurança e outros 27% das organizações tendo apenas uma estratégia básica para segurança de API.

Além disso, embora mais de dois terços dos entrevistados observem que as equipes de segurança têm destacado as 10 principais ameaças de segurança da API OWASP , as equipes ainda não têm um plano em vigor para proteger as APIs.

83% das organizações não têm confiança em seu inventário de API

As organizações estão usando uma ampla gama de técnicas de documentação de API e, ainda assim, apenas 16% dos entrevistados estão muito confiantes de que seu inventário de API está completo. A maioria das abordagens comuns de hoje depende de humanos para fornecer uma visão completa das APIs, deixando a documentação da API incompleta como resultado da velocidade de novos desenvolvimentos e mudanças na API.

Outras descobertas importantes

  • O tráfego de API está crescendo, mas o tráfego de API malicioso está crescendo mais rápido. O volume mensal de chamadas de API dos clientes cresceu 51%, enquanto a porcentagem de tráfego malicioso cresceu 211%.
  • 80% das organizações não acreditam que suas ferramentas de segurança podem impedir ataques de API de forma eficaz.
  • 82% das organizações não têm confiança em saber detalhes da API, como PII exposto, que pode incluir CPNI, PHI, dados do titular do cartão e outras informações confidenciais. 22% das organizações admitem que não têm como saber quais APIs expõem PII.
  • APIs desatualizadas e zumbis apresentam o maior risco percebido. APIs Zombie, APIs mais antigas ou aquelas que devem ter vida curta, apresentam um risco especial porque as organizações presumem que foram desativadas.
  • As abordagens atuais de segurança da API dependem muito das fases do ciclo de vida de pré-produção. Mais da metade das organizações não aplicam proteção de segurança de API em tempo de execução.
Fonte HelpNet Security


Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!