Uso de APIs em ataques cibernéticos aumentou mais de 600% em 2021

O uso inadequado de APIs em projetos de software levou a um aumento de 681% no volume de ataques que usam esse tipo de elemento como porta de entrada. Os dados aumentam um crescimento substancial em 2021 por conta da ampliação no uso de tais tecnologias, com um aumento no tráfego de mais de 300%, e também pelo uso generalizado de más práticas de segurança durante a implementação, que levam a novas aberturas para golpes.

• 85% das empresas sofrem ao menos um ataque de ransomware por ano, diz estudo
• Polícia Federal cria força-tarefa com gigantes digitais para combater cibercrime

Os dados são da empresa de cibersegurança Salt Security e apontam uma desproporção entre a adoção das APIs e os protocolos de segurança. As tecnologias de conexão se tornam cada vez mais essencial para a troca de informações entre serviços digitais, mas de acordo com estudo publicado pela companhia, mais de 62% das empresas já atrasaram o lançamento de sistemas envolvendo tais conexões por conta de problemas de segurança.

O principal deles é a falta de autenticação adequada durante as trocas de informações, levando a vazamentos de dados de usuários e operadores. Acessos indiscriminados de usuários sem as devidas autorizações, implantação de malware e golpes de negação de serviço também estão entre os principais tipos de abuso das APIs que não foram implementadas da forma devida, com falhas lógicas sendo as mais exploradas pelos atacantes.

Aqui, a Salt Security aponta outro ponto inadequado na política das empresas, com 34% delas não tendo nenhum tipo de estratégia de segurança voltada a APIs e 25% inserindo times de segurança apenas nas etapas finais do processo de desenvolvimento. Acima disso, segundo o estudo, a maior parte dos projetos de software só nota ter falhas de segurança a partir de tais conexões quanto já estão em desenvolvimento ou em fase de testes.

Há também uma certa noção de perda de controle, com mais de 80% dos respondentes da pesquisa afirmando não confiarem que suas documentações de software cobrem todas as APIs e tecnologias presentes em um projeto. Há ainda um total de 43% apontando que recursos obsoletos e até tecnologias que não são mais usadas permanecem presentes em suas aplicações, constituindo um vetor perigoso para ataques.

Como proteger o desenvolvimento de software com APIs

Já que o grande assunto do relatório da Salt Security é a ausência de melhores práticas de segurança, ele também traz algumas sugestões de mudança, a começar pela implementação de políticas de proteção que sejam específicas para APIs. É importante ter especialistas que possam analisar o nível de risco e validar as tecnologias utilizadas, bem como limpar elementos desnecessários ou que estejam obsoletos.

O uso de computação na nuvem para reconhecimento de padrões maliciosos e monitoramento de conexões também ajuda a evitar ataques, enquanto todos os ambientes de desenvolvimento devem estar protegidos por soluções integradas. Por fim, os especialistas apontam o olhar para o ciclo de vida das APIs, que deve ser acompanhado de perto para a aplicação de atualizações e mudanças em caso de alterações de funcionamento ou riscos significativos.

Fonte: Salt Security