As organizações estão perdendo entre US$ 94 e US$ 186 bilhões anualmente devido a APIs (interfaces de programação de aplicativos) vulneráveis ou inseguras e ao abuso automatizado por bots. Isso está de acordo com o relatório The Financial Affect of API and Bot Assaults da Imperva, uma empresa da Thales. O relatório destaca que estas ameaças à segurança são responsáveis por até 11,8% dos eventos e perdas cibernéticas globais, enfatizando os riscos crescentes que representam para as empresas em todo o mundo.
Com base num estudo abrangente conduzido pelo Marsh McLennan Cyber Threat Intelligence Heart, o relatório analisa mais de 161.000 incidentes únicos de segurança cibernética. As descobertas demonstram uma tendência preocupante: as ameaças representadas por APIs vulneráveis ou inseguras e o abuso automatizado por bots estão cada vez mais interligados e predominantes. A Imperva alerta que não abordar os riscos de segurança associados a estas ameaças pode levar a danos financeiros e de reputação substanciais.
Adoção de API e expansão da superfície de ataque
As APIs tornaram-se indispensáveis para as operações comerciais modernas, permitindo comunicação e troca de dados contínuas entre aplicativos e serviços. Eles potencializam tudo, desde aplicativos móveis até plataformas de comércio eletrônico e serviços bancários abertos. No entanto, a sua adoção generalizada criou desafios de segurança significativos. De acordo com dados da Imperva Menace Analysis, uma empresa média gerenciou 613 endpoints de API em produção no ano passado, e esse número deverá crescer à medida que as empresas dependem mais fortemente de APIs para impulsionar a transformação digital e a inovação.
Esta maior dependência de APIs expandiu drasticamente a superfície de ataque, com os incidentes de segurança relacionados com APIs a aumentarem 40% em 2022 e mais 9% em 2023. Estes ataques são particularmente perigosos porque as APIs servem frequentemente como caminhos diretos para a infraestrutura subjacente de uma organização e dados sensíveis. O relatório estima que a insegurança das APIs é responsável por até 87 mil milhões de dólares em perdas anuais, um aumento de 12 mil milhões de dólares em relação a 2021. Isto pode ser atribuído a uma variedade de razões, incluindo a rápida adopção de APIs, a inexperiência de muitos programadores de API, a falta de padronização. práticas de segurança e colaboração limitada entre equipes de desenvolvimento e segurança.
Ataques de bots: uma ameaça persistente e em evolução
Juntamente com o aumento dos ataques às APIs, os ataques de bots tornaram-se uma ameaça generalizada e dispendiosa, resultando em perdas anuais de até 116 mil milhões de dólares. Os bots – programas de software program automatizados projetados para executar tarefas específicas – são frequentemente usados como armas para atividades maliciosas, como preenchimento de credenciais, net scraping, fraude on-line e ataques distribuídos de negação de serviço (DDoS).
Em 2022, os incidentes de segurança relacionados com bots aumentaram 88%, seguidos por um aumento adicional de 28% em 2023. Este crescimento alarmante foi alimentado por uma combinação de factores, incluindo o aumento das transacções digitais, a proliferação de APIs e tensões geopolíticas como o conflito Rússia-Ucrânia. A ampla disponibilidade de ferramentas de ataque e modelos generativos de IA também melhorou significativamente as técnicas de evasão de bots e permitiu que até mesmo invasores pouco qualificados realizassem ataques sofisticados de bots.
De acordo com a Imperva, os bots representam agora uma das ameaças mais críticas à segurança da API. No ano passado, 30% de todos os ataques a APIs foram impulsionados por ameaças automatizadas, com 17% especificamente ligados a bots que exploram vulnerabilidades de lógica de negócios. A crescente dependência de APIs — e seu acesso direto a dados confidenciais — tornou-as alvos principais para operadores de bots. Somente o abuso automatizado de APIs agora custa às empresas até US$ 17,9 bilhões anualmente. À medida que os bots se tornam mais sofisticados, os invasores os utilizam cada vez mais para explorar a lógica de negócios da API, contornar medidas de segurança e exfiltrar dados confidenciais, tornando a detecção e a mitigação mais desafiadoras para as organizações.
Grandes empresas em maior risco
As grandes empresas, especialmente aquelas com receitas anuais superiores a mil milhões de dólares, enfrentam um risco desproporcionalmente maior de ataques de API e bots. De acordo com o relatório, essas organizações têm 2 a 3 vezes mais probabilidade de sofrer abuso automatizado de API por bots em comparação com pequenas e médias empresas. Esta maior exposição é impulsionada principalmente pela complexidade e escala das suas infraestruturas digitais.
Essas empresas normalmente gerenciam centenas ou até milhares de APIs em vários departamentos e serviços, criando amplos ecossistemas de API que são difíceis de monitorar e proteger. Nesses ambientes, APIs shadow, APIs não autenticadas e APIs obsoletas apresentam vulnerabilidades significativas. Essas APIs mal gerenciadas geralmente carecem de medidas críticas de segurança, como atualizações regulares, autenticação e monitoramento contínuo, deixando-as abertas à exploração.
Da mesma forma, as grandes empresas são os principais alvos dos ataques de bots devido à sua extensa presença digital e aos seus ativos valiosos. Quanto mais complexo o ambiente digital, mais pontos de entrada potenciais existem para os bots explorarem, desde páginas de login até sistemas de checkout. Com grandes quantidades de dados confidenciais fluindo por meio de seus aplicativos e APIs, essas empresas são um alvo altamente lucrativo para operadores de bots.
O risco é ainda mais pronunciado para empresas com receitas anuais superiores a 100 mil milhões de dólares, onde a insegurança das APIs e os ataques de bots representam até 26% de todos os incidentes de segurança. Este número acentuado destaca a necessidade crítica de estratégias abrangentes de segurança de API e gerenciamento de bots em grandes empresas, onde um incidente de segurança pode resultar em interrupções operacionais significativas, perdas financeiras substanciais e danos duradouros à reputação.
Proteção contra ataques de API e bot
Juntos, APIs vulneráveis ou inseguras e abuso automatizado por bots são responsáveis por bilhões de dólares em perdas anuais. À medida que as empresas dependem cada vez mais de APIs para impulsionar a transformação digital, espera-se que o risco de incidentes de segurança aumente, colocando as organizações em maior risco de danos financeiros e de reputação. Simultaneamente, a evolução dos bots, muitas vezes impulsionada pela IA generativa, ampliou os desafios de defesa contra estas ameaças.
Para mitigar eficazmente estes riscos, a Imperva recomenda que as organizações tomem as seguintes medidas proativas:
- Promova a colaboração multifuncional: A colaboração entre as equipes de segurança e desenvolvimento é essencial para incorporar a segurança em todas as fases do ciclo de vida da API. Esta parceria garante que as medidas de segurança sejam integradas desde a concepção até à implementação, permitindo a identificação proactiva e a mitigação de vulnerabilidades antes que possam ser exploradas. Quando se trata de gerenciamento de bots, essa colaboração deve se estender ainda mais. Os bots são um desafio multifuncional que afeta muitas áreas do negócio. Para combatê-los de forma eficaz, as equipes de advertising, comércio eletrônico, experiência do cliente, TI, linha de negócios e segurança devem trabalhar em estreita colaboração. Essa colaboração mais ampla ajuda a identificar recursos vulneráveis, como páginas de login, processos de checkout e formulários, que são particularmente suscetíveis a ataques de bots.
- Descoberta e monitoramento abrangente de API: As organizações devem ter visibilidade complete de todas as suas APIs, incluindo APIs ocultas, obsoletas e não autenticadas, para garantir que nenhuma seja ignorada. O monitoramento e a auditoria contínuos são essenciais para identificar vulnerabilidades potenciais antes que sejam exploradas.
- Integre a segurança da API e o gerenciamento de bots: O gerenciamento de bots e a segurança de APIs devem ser usados em conjunto para mitigar com sucesso ataques automatizados em bibliotecas de APIs. Essa abordagem combinada ajuda a identificar APIs vulneráveis, monitora continuamente ataques automatizados e fornece insights acionáveis para detecção e resposta rápidas. Ao integrar o gerenciamento de bots e a segurança de APIs, as empresas podem se proteger melhor contra ameaças automatizadas sofisticadas e, ao mesmo tempo, ganhar visibilidade para detectar e mitigar riscos antes que eles causem um incidente de segurança.
À medida que os ecossistemas de API continuam a expandir-se e os bots se tornam mais sofisticados, o custo da inação só aumentará. As organizações devem enfrentar os riscos de segurança associados às APIs e aos bots para proteger dados confidenciais, mitigar perdas financeiras e salvaguardar a reputação da sua marca.
