As organizações perdem entre US$ 94 e US$ 186 bilhões anualmente devido a APIs (interfaces de programação de aplicativos) vulneráveis ou inseguras e abuso automatizado por bots. Isso está de acordo com o relatório Economic Impact of API and Bot Attacks da Imperva, uma empresa da Thales. O relatório destaca que estas ameaças à segurança são responsáveis por até 11,8% dos incidentes e perdas globais, sublinhando o risco crescente que representam para as empresas em todo o mundo.
Com base em extensa pesquisa realizada pelo Marsh McLennan Cyber Risk Intelligence Center, o relatório analisa mais de 161.000 incidentes únicos de segurança cibernética. As descobertas mostram uma tendência preocupante: as ameaças representadas por APIs vulneráveis ou inseguras e o abuso automatizado por bots estão cada vez mais conectados e aumentando. A Imperva alerta que a falha em abordar os riscos de segurança associados a estas ameaças pode resultar em danos financeiros e de reputação significativos.
Adoção de API e expansão da superfície de ataque
As APIs tornaram-se essenciais para as operações comerciais modernas, permitindo comunicação e troca de dados contínuas entre aplicativos e serviços. Eles potencializam tudo, desde aplicativos móveis até mídias sociais de comércio eletrônico e serviços bancários abertos. No entanto, a sua adoção generalizada criou grandes desafios de segurança. De acordo com dados da Imperva Threat Research, uma empresa média gerenciou 613 endpoints de API em produção no ano passado, e espera-se que esse número cresça à medida que as empresas dependem cada vez mais de APIs para impulsionar a transformação digital e a inovação.
Esta maior dependência de APIs aumentou drasticamente a superfície de ataque, com os incidentes de segurança relacionados com APIs a aumentarem 40% em 2022 e mais 9% em 2023. Esses ataques são particularmente perigosos porque as APIs geralmente servem como caminhos diretos para a infraestrutura subjacente e os dados confidenciais de uma organização. O relatório estima que a insegurança das APIs é responsável por até 87 mil milhões de dólares em perdas anuais, um aumento de 12 mil milhões de dólares em relação a 2021. Isso pode ser devido a vários motivos, incluindo a rápida adoção de APIs, falta de experiência entre muitos desenvolvedores de APIs e falta de padronização. medidas de segurança e colaboração limitada entre equipes de desenvolvimento e segurança.
Ataques de bots: uma ameaça constante e persistente
Juntamente com o aumento dos ataques a APIs, os ataques de bots tornaram-se uma ameaça generalizada e dispendiosa, resultando em perdas de até 116 mil milhões de dólares anualmente. Os bots – programas de software automatizados projetados para executar tarefas específicas – geralmente estão armados com atividades maliciosas, como falsificação de credenciais, web scraping, fraude cibernética e ataques de negação de serviço (DDoS).
Em 2022, os incidentes de segurança relacionados com bots aumentaram 88%, seguidos por um novo aumento de 28% em 2023. Este crescimento alarmante foi alimentado por uma combinação de factores, incluindo o aumento do comércio digital, a proliferação de APIs e tensões geopolíticas, como o conflito Rússia-Ucrânia. A ampla disponibilidade de ferramentas de ataque e modelos generativos de IA também melhorou muito as técnicas de evasão de bots e permite que até mesmo invasores pouco qualificados conduzam ataques de bots sofisticados.
De acordo com a Imperva, os bots representam agora uma das ameaças mais sérias à segurança da API. No ano passado, 30% de todos os ataques à API foram impulsionados por ameaças automatizadas, enquanto 17% estavam vinculados exclusivamente a bots que exploravam vulnerabilidades de business intelligence. A crescente dependência de APIs — e seu acesso direto a dados confidenciais — tornou-as alvos principais para operadores de bots. Somente o abuso automatizado de APIs agora custa às empresas até US$ 17,9 bilhões todos os anos. À medida que os bots se tornam mais sofisticados, os invasores os utilizam cada vez mais para explorar a lógica de negócios da API, contornar medidas de segurança e exfiltrar dados confidenciais, tornando a detecção e a mitigação mais desafiadoras para as organizações.
Grandes empresas representam um grande risco
As grandes empresas, especialmente aquelas com receitas anuais superiores a mil milhões de dólares, enfrentam um risco desproporcionalmente elevado de ataques de API e de bots. De acordo com o relatório, essas organizações têm 2 a 3 vezes mais probabilidade de sofrer abuso automatizado de API por parte de bots em comparação com pequenas e médias empresas. Esta elevada exposição é impulsionada principalmente pela complexidade e escala da sua infraestrutura digital.
Essas empresas geralmente gerenciam centenas ou milhares de APIs em vários departamentos e serviços, tornando os ecossistemas de API difíceis de monitorar e proteger. Nesses casos, APIs shadow, APIs não autorizadas e APIs obsoletas apresentam riscos significativos. Estas APIs mal geridas muitas vezes carecem de medidas de segurança importantes, como atualizações regulares, autenticação e monitorização contínua, deixando-as abertas à exploração.
Da mesma forma, as grandes empresas são os principais alvos dos ataques de bots devido à sua grande presença digital e aos seus ativos valiosos. Quanto mais complexo o cenário digital, mais pontos de entrada existem para os bots explorarem, desde páginas de login até sistemas de pagamento. Com grandes quantidades de dados confidenciais fluindo por meio de seus aplicativos e APIs, essas empresas são um alvo lucrativo para operadores de bots.
O risco é ainda mais evidente para empresas com receitas anuais superiores a 100 mil milhões de dólares, onde as vulnerabilidades de API e os ataques de bots são responsáveis por quase 26% de todos os incidentes de segurança. Esta estatística clara destaca a necessidade crítica de estratégias abrangentes de segurança de API e gerenciamento de bots para grandes empresas, onde um incidente de segurança pode levar a interrupções operacionais significativas, perdas financeiras significativas e danos duradouros à reputação.
Proteção contra ataques de API e bot
Juntos, APIs vulneráveis ou inseguras e abuso automatizado por bots são responsáveis por bilhões de dólares em perdas anuais. À medida que as empresas dependem cada vez mais de APIs para impulsionar a transformação digital, espera-se que o risco de incidentes de segurança aumente, colocando as organizações em maior risco de danos financeiros e de reputação. Ao mesmo tempo, o surgimento de bots, muitas vezes impulsionados pela inteligência artificial, aumentou os desafios de defesa contra estas ameaças.
Para mitigar eficazmente este risco, a Imperva recomenda que as organizações tomem as seguintes medidas proativas:
- Incentive uma variedade de interações: A colaboração entre as equipes de segurança e desenvolvimento é fundamental para incorporar a segurança em todas as fases do ciclo de vida da API. Esta colaboração garante que as medidas de segurança sejam integradas desde a concepção até à implementação, permitindo a identificação e mitigação eficazes dos riscos antes de serem implementados. Quando se trata de gestão de bots, esta cooperação deve ser ampliada ainda mais. Os bots são um desafio multifacetado que afeta muitas áreas de negócios. Para combatê-los de forma eficaz, as equipes de marketing, comércio eletrônico, experiência do cliente, TI, linha de negócios e segurança devem trabalhar em estreita colaboração. Essa extensa colaboração ajuda a identificar elementos vulneráveis, como páginas de login, processos de checkout e formulários, que são vulneráveis a ataques de bots.
- Descoberta e monitoramento completos de API: As organizações devem ter visibilidade total de todas as suas APIs, incluindo APIs obsoletas, obsoletas e APIs não autorizadas, para garantir que nenhuma seja ignorada. O monitoramento e a pesquisa contínuos são essenciais para identificar vulnerabilidades potenciais antes que sejam exploradas.
- Combine a segurança da API com o gerenciamento de bots: O gerenciamento de bots e a segurança de APIs devem ser usados em conjunto para mitigar com eficácia os ataques automatizados às bibliotecas de APIs. Essa abordagem integrada ajuda a identificar APIs vulneráveis, monitora proativamente ataques automatizados e fornece insights acionáveis para detecção e resposta rápidas. Ao combinar o gerenciamento de bots com a segurança de API, as empresas podem se proteger melhor contra ameaças automatizadas sofisticadas e, ao mesmo tempo, ganhar visibilidade para detectar e mitigar riscos antes que eles causem um incidente de segurança.
À medida que os ecossistemas de API continuam a crescer e os bots se tornam mais sofisticados, o custo de não fazer nada só aumentará. As organizações devem enfrentar os riscos de segurança associados a APIs e bots para proteger dados confidenciais, minimizar perdas financeiras e proteger a reputação de sua marca.
