Ataques às APIs de serviços financeiros e de seguradoras crescem 244%

A Salt Security divulgou, no dia 25 de julho, os resultados de seu primeiro relatório focado no setor sobre segurança de APIs, “O estado da segurança de API para serviços financeiros e seguros” de 2023. O trabalho combina dados empíricos de clientes da Salt e descobertas de duas pesquisas separadas para fornecer uma análise aprofundada do impacto das ameaças e vulnerabilidades de segurança da API nesses setores.

Os resultados apontaram que os invasores de APIs direcionados a serviços financeiros e de seguros se tornaram cada vez mais ativos, com um aumento de 244% em invasores únicos entre a primeira e a segunda metade do ano passado. Além disso, 92% dos entrevistados destas áreas dizem que experimentaram um problema de segurança significativo nas APIs de produção no ano passado, e quase um em cada cinco sofreu uma violação de segurança de API. As principais descobertas incluem:

• 69% dos entrevistados de serviços financeiros/seguros dizem que sofreram atrasos na implantação devido a problemas de segurança da API – 11% acima da média geral de resposta;
• 17% dos entrevistados sofreram uma violação de segurança relacionada à API;
• 84% dos ataques contra os setores de serviços financeiros/seguros vieram de usuários “autenticados” que pareciam legítimos, mas na verdade eram atacantes;
• 71% dos entrevistados financeiros/de seguros dizem que suas ferramentas existentes não são muito eficazes na prevenção de ataques de API;
• Mais de 25% dos entrevistados dizem não ter nenhuma estratégia de API atual.

“As APIs são essenciais para os serviços digitais inovadores que estão sendo entregues hoje pelas organizações financeiras e de seguros”, disse Roey Eliyahu, CEO e cofundador da Salt Security. “No entanto, como essas APIs transportam informações financeiras confidenciais de clientes, os criminosos virtuais também sabem que compartilham uma abundância de dados que podem ser aproveitados para roubo ou fraude. As descobertas mostram que essas empresas estão sofrendo aumentos significativos de invasores e outros problemas de segurança, ampliando sua vulnerabilidade a incidentes relacionados à API.”

Proteger APIs para proteger novos serviços digitais é uma prioridade de negócios

Violações de segurança de API podem custar multas às empresas, perda de confiança do cliente e danos à reputação. Também acarretam danos os atrasos na implantação de aplicativos ou reversões de novos aplicativos. Dada a importância dos serviços digitais como um impulsionador de negócios nesses setores, a segurança da API tornou-se uma questão crítica, como destacado pelas seguintes descobertas:

• 56% dos entrevistados em serviços financeiros/seguros dizem que a segurança da API agora é um problema de nível C (8% maior em comparação com a média geral de resposta de 48%);
• 79% dos CISOs de serviços financeiros/seguros dizem que a segurança da API é uma prioridade maior hoje do que há dois anos;
• 76% dos CISOs de serviços financeiros/seguros dizem que suas organizações tornaram a segurança da API uma prioridade planejada nos próximos dois anos, com 13% afirmando que será uma prioridade crítica.

Apesar do aumento dos ataques, os serviços financeiros e de seguros carecem de proteção adequada para APIs

Os entrevistados de serviços financeiros e de seguros dizem que não estão preparados ou tomando as medidas certas para proteger as APIs contra ameaças:

• 28% dos entrevistados – todos com APIs em execução em produção – dizem que não têm nenhuma estratégia de API atual;
• 42% dos entrevistados têm pouca confiança em entender quais APIs expõem PII;
• Apenas 13% dos entrevistados consideram seus programas de segurança de API avançados;
• 25% dos entrevistados dizem que sua estratégia atual de segurança de API não dedica tempo suficiente para a documentação de APIs;
• Apenas 42% dos entrevistados identificam falhas de segurança de API durante a produção/tempo de execução, que é onde a atividade de ataque real ocorre.

Os entrevistados de serviços financeiros e de seguros também citaram APIs desatualizadas/zumbis como sua preocupação número um de segurança de API em 48% – quase 35% maior do que a segunda principal preocupação de segurança de API citada, a tomada de conta (ATO – account takeover).

Outras descobertas relevantes do Estado da Segurança API para Serviços Financeiros e Seguros incluem:

• 9% dos ataques de API contra instituições financeiras/seguradoras tiveram como alvo APIs internas, representando um aumento de 613% entre a primeira e a segunda metade do ano passado;
• 61% dos entrevistados em finanças/seguros gerenciam mais de 100 APIs e 36% gerenciam mais de 500;
• 27% dizem que mais do que dobraram suas APIs no último ano;
• Os entrevistados valorizam mais a capacidade de impedir ataques (49%) em uma plataforma de segurança de API, seguido de perto pelo cumprimento dos requisitos de conformidade/regulamentação (48%);
• Enquanto 36% dos entrevistados atualizam suas APIs pelo menos semanalmente, apenas 10% atualizam a documentação no mesmo ritmo.