As empresas globais podem sofrer perdas de até US$ 75 bilhões anuais por não estarem protegendo adequadamente suas APIs (interfaces de programação de aplicações), de acordo com uma nova pesquisa da Imperva. A empresa de segurança se uniu ao Marsh McLennan Cyber Risk Analytics Center para analisar quase 117 mil incidentes de segurança cibernética para seu relatório Quantifying the Cost of API Insecurity.
O estudo revela que APIs vulneráveis e não seguras causam cerca de 7,5% dos eventos e perdas cibernéticas globalmente, sendo que esse índice responde por 18% a 23% no segmento de TI e comunicações (TICs), de 10% a 15% no de serviços profissionais e de 6% a 12% no setor de varejo.
As APIs são uma característica cada vez mais comum dos projetos de transformação digital — conectando aplicativos, dados e experiências. A Imperva estima que cerca de metade das empresas tem de 50 a 100 APIs implantadas internamente ou publicamente, embora algumas tenham milhares. No entanto, isso pode expandir involuntariamente a superfície de ataque digital, alerta a empresa.
“Na raiz de todos os incidentes de segurança relacionados à API estão os dados. Proteger a API requer uma mudança de mentalidade; um que é estar focado em classificar dados e entender como eles são acessados por cada API em produção”, disse o gerente geral de segurança de aplicativos da Imperva, Karl Triebes, à Infosecurity. “Essa abordagem exige que as equipes de segurança e desenvolvimento trabalhem juntas para incorporar a segurança no ciclo de vida do desenvolvimento. Até lá, os cibercriminosos continuarão a explorar APIs vulneráveis para exfiltrar dados confidenciais em volumes maiores.”
Veja isso
Ataque de vários estágios ameaça APIs de Dockers
Ataques a APIs crescem quase 700% nos últimos 12 meses
Uma nova pesquisa da Radware divulgada esta semana revela que a empresas necessitam ter uma melhor visibilidade dos dados e acabar com o gap de controle quando se trata de segurança de API. O levantamento descobriu-se que 92% dos entrevistados globais acreditam ter proteção de API suficiente e 70% avaliam que têm visibilidade dos aplicativos que processam dados confidenciais. No entanto, 62% admitiram que um terço ou mais de suas APIs não são documentadas.
“Para muitas empresas, há inequivocamente uma falsa sensação de segurança de que estão adequadamente protegidas contra ataques cibernéticos. Na realidade, eles têm lacunas significativas na proteção em torno de APIs desconhecidas e não documentadas”, disse Gabi Malka, COO da Radware. “A segurança da API não é uma ‘tendência’ que está desaparecendo. As APIs são um componente fundamental para a maioria das tecnologias atuais e protegê-las deve ser uma prioridade para todas as organizações.
