Mercado de APIs em expansão pelos próximos anos deve atrair mais ataques direcionados, através de exploração de vulnerabilidades sobre recursos com baixa visibilidade e pouco controle de Segurança nas esteiras de desenvolvimento. Especialistas aconselham a ampliação da visibilidade sobre as redes de aplicações visando proteger um recurso essencial à continuidade dos negócios
As APIs estão na mira do cibercrime justamente por ser um recurso que conecta serviços para transferência de dados, o que gera também grandes desafios de Cyber Security. De acordo com o Gartner, 53% das organizações são afetadas por três ou mais ataques direcionados à APIs por mês.
Além disso, o mercado deve esperar que o número de vazamentos de dados relacionados às aplicações dobre até 2025, ampliando os 63 milhões de arquivos vazados anualmente por meio de vulnerabilidades. O Gartner ainda apontou que 80% das movimentações de dados usualmente atingidas em um ataque são baseadas em APIs.
“Mesmo as próprias soluções de segurança dependem de APIs como meios de conectividade para consumir recursos computacionais e informações. Até as fraudes são constantemente movidas por vulnerabilidades nelas, mirando empresas financeiras, de telecomunicações, entre outras. A segurança disso é essencial”, explicou o líder de inovações da Leadcommm, Leandro Yañez, durante evento de anúncio da parceria da distribuidora com a Cequence.
Esses números se devem principalmente à expansão do mercado dessas aplicações. A estimativa do Gartner é de triplicar o uso das APIs em até dois anos, e já neste momento, de 10 a 50% de toda a receita das empresas é gerada pelas APIs. Por fim, cerca de 90% das ações de DevOps também as utilizam como recurso de criação de novas aplicações de forma acelerada.
Devido ao crescimento robusto e acelerado do uso das APIs, a visibilidade sobre esses sistemas se tornou fundamental. Yañez ressalta que a grande maioria das transações de APIs apresentam um caráter malicioso. Quando uma delas é disponibilizada por uma grande empresa, os grupos criminosos começam a agir imediatamente na exploração dessas vulnerabilidades.
“Instalar uma API não é uma tarefa difícil, mas mantê-la visível dentro de todo um ecossistema complexo exige mais dos times de Segurança. Sem conseguir analisar todo o conjunto de APIs, gerando controle sobre os recursos disponíveis do ambiente interno para o mundo externo, não se consegue fazer Segurança”, complementou o executivo.
Cenário desafiador no Brasil
Embora a maioria das empresas compreendam a necessidade de se manter suas APIs protegidas, contando até com orçamentos internos, ainda existe muita insatisfação dessas organizações com os processos envolvendo esse mercado. De acordo com Leandro Yañez, essa insatisfação gerou uma demanda crescente por novas possibilidades de Cybersecurity, focadas na visibilidade e monitoramento dos recursos.
“nosso objetivo então foi reproduzir o modelo de sucesso do exterior para o Brasil, fechando parcerias como com a Cequence, de forma a aplicar toda a base de inteligência contra ameaças mantida por eles no exterior à serviço das organizações aqui no país. Estes são negócios do dia a dia das pessoas, que precisam ser protegidas da melhor forma”, Disse o Líder de Inovações da Leadcomm.
A proposta dessa solução é justamente atacar a demanda de visibilidade sobre a rede de APIs, promovendo o rastreio de todas as conexões internas em um período de dias, além de reduzir o tempo médio de detecção de ataques e de respostas. De acordo com Jay Meindertsma, Gerente de Vendas regional da Cequence, é possível responder aos Líderes de Segurança quantas APIs possuem, se elas correm risco imediato ou o nível de exposição delas.
“Praticamente todas as verticais de negócios utilizam APIs em diversas responsabilidades, ajudando a inovar, desenvolver com velocidade e gerar maior renda. A questão é que os cibercriminosos percebem isso e sabem como explorar essas vulnerabilidades para obterem melhores resultados nos ataques”, finalizou Meindertsma.
Fonte:
https://www.securityreport.com.br/sem-visibilidade-e-controle-nao-se-consegue-proteger-apis-diz-lider-de-inovacao/