Aumento acentuado de ataques contra APIs

A situação relativa à segurança API é preocupante, como mostra o último relatório trimestral de segurança API da Salt Security. A situação está a levar cada vez mais os decisores a analisar mais de perto o assunto.

Por Aurélie Chandeze com João Miguel Mesquita

Um aumento de 400% no número de atacantes que visaram os APIs nos últimos seis meses. Este é o primeiro número a emergir do relatório “State of API Security” para o primeiro trimestre de 2023, um relatório recentemente publicado pelo fornecedor Salt Security. Além disso, quase 80% dos ataques dizem respeito a APIs que requerem autenticação prévia e 8% chegam mesmo a visar APIs internas deixadas desprotegidas. O estudo também mostra que 94% dos inquiridos tiveram problemas de segurança com APIs de produção no último ano, com 17% a sofrer fugas de dados como resultado de tais vulnerabilidades. Além disso, quase seis em cada dez inquiridos (59%) tiveram de abrandar a implantação de novas aplicações devido a problemas de segurança de APIs.

Como resultado, quase metade (48%) dos 400 profissionais de segurança inquiridos indicam que a segurança de API é agora uma preocupação dos executivos nas suas organizações, com uma percentagem ainda mais elevada em indústrias sensíveis ou altamente regulamentadas (55% nos serviços públicos, 56% no setor financeiro e 59% no setor tecnológico). Mais de metade dos profissionais inquiridos (54%) estão particularmente preocupados com APIs desatualizados, mas apenas 20% consideram também que os APIs “sombra”, implantados fora do controlo das TI, são uma grande preocupação. Na opinião do fornecedor, o risco real é provavelmente mais elevado para os APIs “sombra”.

Segurança ainda insuficiente

Por outro lado, as medidas de segurança estão visivelmente a lutar para se adaptarem ao poder crescente das ameaças. Por exemplo, menos de um quarto dos inquiridos (23%) acreditam que a sua atual estratégia de segurança é muito eficaz na prevenção de riscos em torno das APIs. Pior ainda, 30% não têm atualmente qualquer estratégia para proteger os API – um ponto que, felizmente, poderá mudar em breve, uma vez que 25% dizem estar a trabalhar nisso.

Das empresas que têm uma estratégia em vigor, apenas 54% se referem à lista dos Top 10 de Segurança de APIs da OWASP ao desenvolverem os seus programas de segurança. O resto beneficiaria de fazer o mesmo, uma vez que, segundo o fornecedor, dois terços (66%) das tentativas de ataque observadas exploram pelo menos um dos dez métodos desta lista. Entre as questões prioritárias para as equipas de segurança estão a capacidade de bloquear ataques e a capacidade de identificar APIs que exponham informações sensíveis, ambas citadas por 44% dos inquiridos, bem como a capacidade de verificar a conformidade regulamentar (citada por 38%). Finalmente, 22% gostariam de ser capazes de introduzir a segurança mais a montante nas práticas.

Autores
Tags ,

Artigos relacionados

O seu comentário...

*

Top