Segurança e gerenciamento de API

Embora as APIs sejam responsáveis ​​pela maior parte do tráfego da Internet, elas permanecem em grande parte inseguras.

Cloudflare, empresa líder em conectividade em nuvem, publicou hoje seu relatório inaugural de segurança e gerenciamento de API. As conclusões do relatório deste ano revelam que as APIs, uma tecnologia que sustenta os sites e aplicações mais utilizados atualmente, estão sendo utilizadas pelas empresas mais do que nunca – em última análise, abrindo a porta para mais ameaças online. O relatório destaca a lacuna entre o uso de APIs pelas organizações e sua capacidade de proteger os dados que essas APIs tem acesso.

As APIs impulsionam o mundo digital: nossos telefones, smartwatches, sistemas bancários e sites de compras dependem de APIs para se comunicar. Elas podem ajudar os sites de comércio eletrônico a aceitar pagamentos, permitir que os sistemas de saúde compartilhem dados de pacientes com segurança e até mesmo fornecer aos táxis e ao transporte público acesso a dados de tráfego em tempo real. Quase todas as empresas hoje utilizam APIs para construir e fornecer melhores sites, aplicativos e serviços aos consumidores. No entanto, se não forem devidamente gerenciadas e seguras, as APIs representam grande vulnerabilidades pela quais hackers possam extrair informações potencialmente confidenciais.

“As APIs são fundamentais para o funcionamento de aplicativos e sites, o que as torna um alvo rico e relativamente novo para hackers. É vital que as empresas identifiquem e protejam todas as suas APIs para evitar violações de dados e proteger os seus negócios.” Matthew Prince, CEO e cofundador da Cloudflare.

As principais conclusões do Relatório de segurança e gerenciamento de APIs de 2024 da Cloudflare incluem:

• Mesmo os setores improváveis ​​observam altos picos de tráfego de API: as integrações perfeitas que as APIs permitem têm levado organizações de todos os setores a aproveitá-las cada vez mais – algumas mais rapidamente do que outras. Os setores de IoT, transporte ferroviário, ônibus e táxi, serviços jurídicos, multimídia e jogos, e logística e cadeia de suprimentos registraram a maior parcela de tráfego de API em 2023.

• O tráfego de API é responsável pela maior parte do tráfego da Internet: as APIs dominam o tráfego dinâmico da Internet em todo o mundo (57%), e cada região protegida pela Cloudflare registrou um aumento no uso no ano passado. No entanto, as principais regiões que adoptaram APIs de forma explosiva e testemunharam a maior quota de tráfego em 2023 foram África e Ásia.

• As APIs enfrentam uma série de ameaças frequentes e crescentes: como acontece com qualquer função crítica de negócios popular que abriga dados confidenciais, os agentes de ameaças tentam explorar todos os meios necessários para obter acesso. O aumento na popularidade das APIs também causou um aumento no volume de ataques, com anomalia HTTP, ataques de injeção e inclusão de arquivos sendo os três tipos de ataque mais comumente usados ​​e mitigados pela Cloudflare.

• As Shadow APIs fornecem um caminho indefeso para os agentes de ameaças: as organizações lutam para proteger o que não podem ver. Quase 31% mais endpoints API REST (quando uma API se conecta ao programa de software) foram descobertos por meio de aprendizado de máquina em comparação com identificadores fornecidos pelo cliente – por exemplo, as organizações não têm um inventário completo de suas APIs.

• As soluções de mitigação de DDoS são uma das ferramentas mais eficazes para proteger APIs: independentemente de uma organização ter visibilidade total de todas as suas APIs, as soluções de mitigação de DDoS podem ajudar a bloquear ameaças potenciais. Um terço (33%) de todas as mitigações aplicadas a ameaças de API foram bloqueadas por proteções DDoS já em vigor.

• Metodologia do relatório: As conclusões deste relatório, incluindo as estatísticas incluídas acima, são baseadas em padrões de tráfego observados pela rede global da Cloudflare (incluindo o firewall de aplicativos web da Cloudflare, proteção DDoS, gerenciamento de bots e serviços de gateway de API) entre 1º de outubro de 2022 e 31 de agosto de 2023. No trimestre encerrado em 30 de setembro de 2023, a Cloudflare atendeu, em média, mais de 50 milhões de solicitações HTTP por segundo e bloqueou uma média de 170 bilhões de ameaças cibernéticas por dia.

Saiba mais através do post oficial no blog na Cloudflare