De acordo com um relatório recente da Radware, provedor de cibersegurança líder no mercado, as empresas têm um ”falso senso de segurança“ em relação a APIs. Este relatório nada mais é que um compilado de informações de organizações globais (EUA, Europa, África, Ásia e Oceania), sob nome de State of API Security.
Uma das descobertas mais relevantes deste estudo, como informa o VentureBeat, foi que existe uma lacuna entre o nível de documentação da API e o nível de proteção que as organizações acreditam ter.
Enquanto 92% dos entrevistados acreditam ter “proteção adequada” para APIs, 62% admitem que pelo menos 1/3 das APIs não são documentadas. Ou seja, boa parte das organizações camufla sua real postura sobre a segurança de APIs, ignorando a transparência ao tratarmos daquelas não documentadas.
Por conta do crescente interesse no mercado sobre a infraestrutura em nuvem, a segurança de APIs virou um pilar para evitar violações de dados. Porém, como vimos no relatório, as organizações não estão cumprindo seu papel para zelar pela segurança de todos os envolvidos.
Vale lembrarmos do caso do LinkedIn, que aconteceu há pouco menos de um ano, sendo uma vítima de ataques de alto nível, conduzidos por cibercriminosos – que logo notaram a fragilidade de APIs e reconhecem este como uma porta de entrada negligenciada por ambientes corporativos.
A situação não melhora quando vemos que o tráfego de APIs cresceu nada menos que 321% somente em 2021. Os ataques, por consequência direta, aumentaram em 681%. Outro relatório recente da Salt Security mostrou que 95% das organizações pesquisadas sofreram ataques, considerando o período de março de 2021 a março de 2022.
A chave para lidar com tais ameaças é a documentação. Ignorar APIs (e, acima de tudo, seus pontos fracos) pode conceder ao invasor tudo o que ele precisa para entrar em ação.
“Para muitas empresas, há um falso senso de segurança de que elas estão adequadamente protegidas contra ataques cibernéticos. Na verdade, elas possuem lacunas significativas na proteção em torno de APIs desconhecidas e não documentadas”, diz Gabi Malka, diretora de operações e chefe de pesquisa e desenvolvimento da Radware, em comunicado oficial em conjunto à publicação.
“A segurança de APIs não é uma ‘tendência’ que está a desaparecer. As APIs são um componente fundamental para a maioria das tecnologias atuais, sendo que a segurança deve se tornar uma prioridade para todas as organizações”, completa a diretora.
Malka alerta que as organizações, muitas vezes, cometem o erro de subestimar a própria postura sobre segurança de APIs. Isso se dá por suposições falsas, como acreditarem que os gateways de APIs e WAFs tradicionais protegem seu ambiente, em vez de “integrar soluções de proteção de API dedicadas”, com recursos de proteção contra bots.
Com o desenvolvimento do mercado, principalmente se falarmos sobre a popularização da nuvem, as empresas logo serão capazes de distinguir entre essas ferramentas como as de verificação de vulnerabilidades, podendo tomar como referência a eficácia de verificação – e também ao identificarem vulnerabilidades das APIs expostas.