blog

Jul 13, 2023

Google: com a nuvem vêm APIs e dores de cabeça de segurança

Roberto Lemos | 27 de dezembro de 2022 As interfaces de programação de aplicativos (APIs) da Web são

Robert Lemos | Dec 27, 2022

As interfaces de programação de aplicativos da Web (APIs) são a cola que une os aplicativos e a infraestrutura em nuvem, mas esses endpoints estão cada vez mais sob ataque, com metade das empresas reconhecendo um incidente de segurança relacionado à API nos últimos 12 meses.

De acordo com uma pesquisa realizada pelo Google Cloud, os problemas de segurança mais problemáticos que afetam o uso de APIs pelas empresas são configurações incorretas de segurança, APIs e componentes desatualizados e spam ou bots de abuso – com 40% das empresas sofrendo um incidente devido a configuração incorreta e um terceiro enfrentamento com as duas últimas questões.

Dois terços das empresas (67%) encontraram problemas de segurança e vulnerabilidades relacionados à API durante a fase de teste, mas a maioria das empresas — mais de 60% — descobriu problemas durante o processo de desenvolvimento de software, durante a implantação do aplicativo e usando monitoramento em tempo real , de acordo com a pesquisa com mais de 500 líderes de tecnologia.

Apesar desses problemas, mais de três quartos (77%) têm confiança de que detectarão problemas, dizendo que possuem as ferramentas e soluções de API necessárias, diz Vikas Anand, chefe de produto para plataformas de aplicativos de negócios no Google Cloud.

"Há uma percepção de confiança com ferramentas existentes que não é correspondida por evidências", diz Anand. "O panorama da segurança mudou - com o crescimento dramático no volume de APIs, as APIs são o novo campo de batalha para a segurança de aplicativos."

O interesse pelas APIs da Web ocorre quando as empresas aceleram suas transformações digitais nos últimos dois anos, após as interrupções nos negócios causadas pela pandemia de coronavírus. Quase todas (93%) das empresas pesquisadas pelo Google em um segundo estudo com 770 líderes de tecnologia caracterizaram suas operações como baseadas "principalmente na nuvem", acima dos 83% há dois anos.

Por outro lado, os tomadores de decisão de negócios que caracterizam suas operações como "principalmente no local" caíram pela metade, para 7%, de 16%, no mesmo período.

Segundo uma estimativa, os incidentes de segurança relacionados à API causaram perdas de US$ 12 bilhões a US$ 23 bilhões desde 2020. E a superfície de ataque está ficando maior: a média das grandes empresas tem três vezes mais APIs - 15.600 - do que há um ano.

Enquanto 46% das organizações pesquisadas reservaram o uso de APIs apenas dentro de sua própria organização, mais da metade (54%) permite que parceiros, clientes e outros desenvolvedores externos usem as APIs como uma forma de estimular o desenvolvimento de terceiros, descobriu o Google.

"As APIs são essenciais para a modernização de aplicativos e transformação digital porque, junto com os microsserviços, permitem a entrega rápida de novas experiências aos clientes, reduzindo o custo de desenvolvimento e manutenção", afirmou o Google Cloud em seu relatório "The Digital Crunch Time: 2022 State of APIs e aplicativos" relatório.

Como as APIs são essenciais para sua transformação digital, as empresas priorizaram sabiamente os investimentos em segurança de API, com 60% visando melhorar sua capacidade de identificar ameaças de segurança proativamente e 57% adotando mais automação e orquestração de segurança, de acordo com o segundo relatório do Google Cloud, "API Segurança: insights mais recentes e principais tendências."

Cerca de metade das empresas também pretende expandir seu monitoramento em tempo real de servidores de API e usar sistemas de inteligência artificial e aprendizado de máquina (AI/ML) para melhor descobrir falhas e detectar ataques.

"À medida que as organizações deixam de ser reacionárias e passam a lidar proativamente com essas ameaças, veremos os modelos de IA/ML serem mais amplamente adotados nas ferramentas de segurança", diz Anand. "As regras baseadas em ML são a evolução natural disso - não apenas automatizando, mas aprendendo continuamente com essas experiências."

Sem surpresa, as empresas que tiveram mais experiência com APIs também obtiveram mais sucesso com a transição para operações mais nativas da nuvem.

Cerca de um terço das empresas (34%) se classificaram como tendo uma abordagem madura para APIs, promovendo uma estratégia API-first em todas as organizações e usando uma plataforma de gerenciamento de API. Essas empresas também tiveram mais sucesso no aumento da eficiência, melhor colaboração e maior agilidade, em comparação com organizações com menor maturidade de API.