Principales vulnerabilidades de API que las organizaciones no pueden permitirse ignorar

El 75 % de las organizaciones suelen cambiar o actualizar sus API a diario o semanalmente, lo que crea un desafío importante para proteger la superficie de ataque de API cambiante , según Data Theorem y ESG.

Las API inseguras plagan a las organizaciones

En un hallazgo relacionado, los resultados del estudio también revelaron que la mayoría (92 %) de las organizaciones experimentaron al menos un incidente de seguridad relacionado con API inseguras en los últimos 12 meses, mientras que la mayoría de las organizaciones (57 %) experimentaron múltiples incidentes de seguridad relacionados con API inseguras durante el último año.

Para recopilar datos para este informe, ESG encuestó a 397 encuestados de organizaciones del sector público y privado en América del Norte (EE. UU. y Canadá) en TI (38 %), seguridad (30 %) y desarrollo de aplicaciones (32 %) sobre problemas y desafíos. y tendencias en torno a las aplicaciones nativas de la nube y la seguridad de las API. La mayoría de los encuestados (64 %) eran de organizaciones con 1000 o más empleados, mientras que el 36 % eran de organizaciones con 100 a 999 empleados.

Desafíos de seguridad en el ciclo de desarrollo de CI/CD

Para abordar estas preocupaciones de seguridad de API, el estudio encontró que los principales enfoques en los que las organizaciones aumentarán su gasto durante los próximos 12 a 18 meses son las herramientas de seguridad de API (45 %), las plataformas de protección de aplicaciones nativas de la nube: CNAPP (43 %) y seguridad de aplicaciones integradas y herramientas de seguridad de API (41%). El estudio también encontró que el desafío de seguridad más citado que enfrentan las organizaciones con ciclos de desarrollo más rápidos de CI/CD es que la seguridad carece de visibilidad y control en los procesos de desarrollo (41 %).

El segundo desafío de seguridad más citado con ciclos de desarrollo más rápidos de CI/CD es que las nuevas compilaciones se implementan en producción con configuraciones incorrectas, vulnerabilidades y otros problemas de seguridad (40 %), seguidas por los desarrolladores que se saltan los procesos de seguridad (39 %) y el lanzamiento del software. sin controles y/o pruebas de seguridad (38%).

“No sorprende que la mayoría de las organizaciones estén experimentando incidentes de seguridad relacionados con las API”, dijo Melinda Marks , analista sénior de Enterprise Strategy Group. “Los ciclos de desarrollo modernos traen lanzamientos y actualizaciones de productos más rápidos y frecuentes, y la creciente cantidad de API que cambian a diario y semanalmente hacen que sea imperativo abordar la superficie de ataque cambiante. Esta rápida tasa de cambio también crea API en la sombra y API zombis, que pueden ser las API favoritas de los piratas informáticos para explotar porque las organizaciones a menudo no las conocen”.

Exposición de datos y fallas en el control de acceso

El estudio también encontró que los tipos de vulnerabilidades de API que más preocupan a las organizaciones son la exposición de datos confidenciales debido a la ausencia de SSL o TLS (34 %), vulnerabilidades de control de acceso basado en atributos (ABAC) y fallas en la lógica comercial de API (ambas con 31 %). y ataques distribuidos de denegación de servicio: DDoS (30 %).

“Según ESG, con la gran mayoría (80 %) de las organizaciones que informan que todas o la mayoría de sus aplicaciones nativas de la nube utilizan API en la actualidad, y una mayoría similar (75 %) de las organizaciones suelen cambiar o actualizar sus API al menos semanalmente, La API y la seguridad nativa de la nube siguen siendo un problema crítico para las organizaciones en la actualidad”, dijo Doug Dooley , director de operaciones de Data Theorem.

“La buena noticia que muestra la investigación es que dos enfoques de seguridad (herramientas de seguridad API y CNAPP) parecen ser las opciones más prometedoras para ayudar a las organizaciones a reducir sus vulnerabilidades a los ataques, y las organizaciones están tomando medidas durante los próximos 12 a 18 meses para proteger mejor sus aplicaciones y datos. Data Theorem se encuentra en una posición ideal para proporcionar a las organizaciones soluciones tanto de seguridad API como de CNAPP”, concluyó Dooley.