El informe de seguridad del estado de la API de Salt Security revela que los ataques a la API aumentaron un 681 % en los últimos 12 meses

PALO ALTO, California–Marzo 2, 2022–Seguridad de sal, la compañía líder en seguridad API, lanzó hoy la laboratorios de sal Informe sobre el estado de la seguridad de las API, primer trimestre de 1. En su última versión, el informe semestral encontró que el 95% de las organizaciones encuestadas han experimentado un incidente de seguridad de API en los últimos 12 meses. A pesar del dramático aumento de ataques e incidentes, estas organizaciones, todas las cuales ejecutan API de producción, siguen sin estar preparadas para los ataques de API, y el 34 % de los encuestados carece de cualquier tipo de estrategia de seguridad de API. Esta falta de defensa presenta un riesgo comercial significativo para las empresas en forma de innovación comercial más lenta, confianza del consumidor comprometida e interrupción de los esfuerzos de modernización.

El Informe sobre el estado de la seguridad de las API se extrae de una combinación de respuestas de encuestas y datos empíricos de la plataforma en la nube Salt SaaS. Los intentos de ataques contra clientes de Salt, bloqueados por nuestra plataforma, crecieron considerablemente: el tráfico de API malicioso aumentó un 681 % en comparación con un aumento del 321 % en el tráfico de API general. Es comprensible que el 62 % de los encuestados reconocieran haber ralentizado la implementación de una nueva aplicación debido a problemas de seguridad de la API.

“Para prosperar hoy, cada empresa debe ser una empresa de software, y las API residen en el corazón de la innovación de sus aplicaciones. Las empresas digitales se han convertido en los líderes de nuestra economía moderna y, al mismo tiempo, se han convertido en los principales objetivos de los malos actores”, dijo Roey Eliyahu, cofundador y director ejecutivo de Salt Security. “Vemos que los ataques a las API se aceleran significativamente año tras año. Aún más preocupante, el ritmo de crecimiento en el uso de API y los ataques continúa superando la preparación y las defensas empresariales. Las organizaciones deben invertir tiempo y esfuerzo para comprender el panorama de los ataques a las API y las capacidades críticas necesarias para proteger sus activos más vitales”.

Dado que casi todos los encuestados (95 %) identifican un incidente de seguridad de API en sus API de producción, la necesidad de diseñar una estrategia sólida de seguridad de API es urgente. Los clientes de Salt también experimentaron un aumento en la frecuencia de los ataques, con un 12 % soportando un promedio de más de 500 ataques cada mes.

“Las API presentan un vector de ataque atractivo, a pesar de los mejores esfuerzos de las organizaciones para validar las API antes de lanzarlas a la producción”, dijo Michael Isbitski, evangelista técnico de Salt Security. “Dada la incapacidad de las plataformas de administración de API y seguridad tradicionales para protegerse contra ataques sofisticados que se dirigen a la lógica comercial única de las API, no sorprende que los atacantes continúen teniendo éxito, lo que mantiene a las empresas en riesgo”.

Las preocupaciones de seguridad encabezan la lista de preocupaciones sobre las estrategias de API, con un 40 %

Los encuestados tienen una variedad de preocupaciones sobre los programas API de sus empresas, y el 40 % menciona la seguridad como su principal preocupación. La inversión insuficiente en seguridad de preproducción ocupa el primer lugar, con un 22 %, y otro 18 % de los encuestados está preocupado porque el programa no aborda adecuadamente el tiempo de ejecución o la seguridad de producción. La inversión insuficiente para desarrollar los requisitos y la documentación es la principal preocupación para el 19 % de los encuestados.

La mayoría de las empresas no están preparadas para un ataque de API

Los incidentes de seguridad muy publicitados y las súplicas de los profesionales de seguridad para implementar protecciones de seguridad de API no han sido suficientes para impulsar a la mayoría de las organizaciones a adoptar estrategias efectivas de seguridad de API. Entre los encuestados, el 34 % no tiene una estrategia establecida y un poco más de una cuarta parte (27 %) solo tiene una estrategia básica. Solo el 11% tiene una estrategia avanzada que incluye pruebas y protección de API dedicadas.

Los hallazgos también respaldan la idea de que las brechas presupuestarias y de habilidades juegan un papel en esta falta de preparación. La falta de experiencia o recursos (35 %) y las limitaciones presupuestarias (20 %) son los principales obstáculos para implementar una estrategia óptima de seguridad de API.

Una dependencia excesiva de las prácticas de "cambiar a la izquierda" sigue fallando a la empresa

Dado que la protección en tiempo de ejecución es fundamental para la protección efectiva de la API y el 95 % de los encuestados experimentó un incidente de seguridad de la API en el último año, las tácticas de "cambiar a la izquierda" para la seguridad de la API están demostrando ser inadecuadas. Este problema se magnifica a medida que los equipos de TI continúan divididos sobre la "propiedad" de la seguridad de la API. Más de la mitad de los encuestados dicen que la responsabilidad principal recae en los desarrolladores, DevOps o DevSecOps. Solo el 31 % de los encuestados asigna la responsabilidad de la seguridad de la API a los equipos de AppSec o InfoSec.

Los WAF y las puertas de enlace de API continúan sin detectar los ataques de API

La dependencia de las herramientas tradicionales de administración de API y seguridad, como los firewalls de aplicaciones web (WAF) y las puertas de enlace API, ha dejado a muchas organizaciones con una falsa sensación de seguridad. Dado que el 95 % de los encuestados experimentó un incidente de seguridad de API en el último año, el hecho de que el 55 % dependa de las alertas de las puertas de enlace y el 37 % utilice WAF para identificar a los atacantes muestra la brecha en las capacidades. La confianza en el análisis de archivos de registro (45 %) para la seguridad de la API es igualmente ineficaz: cuando se analizan los archivos de registro, los atacantes ya se han ido con los datos valiosos y las cargas útiles que buscaban.

Detener los ataques de API sigue siendo el criterio principal para una plataforma de seguridad de API

Por tercera vez consecutiva, más encuestados (42 %) mencionaron detener los ataques de API como la capacidad más importante que buscan en una plataforma de seguridad de API. La identificación de qué API exponen información de identificación personal (PII) y datos confidenciales sigue en segundo lugar (41%). La capacidad de endurecer las API con el tiempo ocupó el tercer lugar (38 %) y el cumplimiento de los requisitos reglamentarios ocupó el cuarto lugar (36 %).

Hallazgos adicionales del Informe sobre el estado de la seguridad de las API:

El riesgo de API "zombie" o desactualizadas encabeza la lista de preocupaciones de seguridad de API, con el 43% de los encuestados citándolo como su principal preocupación. La apropiación de cuentas ocupó el segundo lugar, con un 22 % enfocado en ese riesgo como su mayor preocupación.

Los cambios en las API van en aumento: el 9 % de los encuestados actualiza sus API todos los días, el 31 % lo hace semanalmente y el 24 % las actualiza con menos frecuencia que todos los meses.

El 94 % de las vulnerabilidades dentro de la base de clientes de Salt ocurren contra API autenticadas.

El 86% de los encuestados no tienen la confianza de saber qué API exponen datos confidenciales.

El 85% de los encuestados señaló que sus herramientas actuales no son efectivas para detener los ataques de API.

El 83 % de los encuestados no confía plenamente en su inventario de API.

La seguridad de las API está mejorando el funcionamiento de los equipos de seguridad

Aunque las organizaciones son muy dispares en su perspectiva sobre quién debe asumir la responsabilidad de la seguridad de la API, la colaboración y el aporte compartido entre los equipos de seguridad y DevOps están aumentando. Más de un tercio de los encuestados (34 %) afirma que los equipos de seguridad colaboran más con DevOps como resultado de abordar la seguridad de las API, y otro 30 % afirma que DevOps busca la opinión de los equipos de seguridad para dar forma a las directrices de las API. Otro 25 % de las organizaciones están incorporando ingenieros de seguridad en los equipos de DevOps en respuesta al desafío. La encuesta también encontró que más equipos de seguridad están destacando la Las 10 mejores API de OWASP lista de amenazas: 61 % en este informe frente al 50 % de hace seis meses, un cambio positivo para mejorar las prácticas de seguridad de las API en una organización.

La Informe sobre el estado de la seguridad de las API, primer trimestre de 1 fue compilado por investigadores de
laboratorios de sal, la división de investigación de Salt Security, utilizando datos de encuestas de más de 250 ejecutivos y profesionales de seguridad, aplicaciones y DevOps, además de datos empíricos agregados y anónimos de clientes de Salt Security obtenidos a través de la Plataforma de protección API Salt Security.

Como parte de su compromiso continuo con la educación, Salt Security será el anfitrión del primer evento de la industria Cumbre de seguridad de API el 3 de marzo de 2022, para equipar a la comunidad para abordar mejor los crecientes desafíos de seguridad de API. para registrarse, haga clic aquí. Para obtener más información sobre Salt Security o para solicitar una demostración, visite https://content.salt.security/.

Acerca de la seguridad de la sal

Salt Security protege las API que forman el núcleo de todas las aplicaciones modernas. Su API Protection Platform es la primera solución patentada de la industria para prevenir la próxima generación de ataques API, utilizando el aprendizaje automático y la IA para identificar y proteger las API de forma automática y continua. Implementada en minutos, la plataforma Salt Security aprende el comportamiento granular de las API de una empresa y no requiere configuración ni personalización para identificar y bloquear a los atacantes de API. Salt Security fue fundada en 2016 por ex alumnos de las Fuerzas de Defensa de Israel (IDF) y ejecutivos emprendedores en serie en el campo de la ciberseguridad y tiene su sede en Silicon Valley e Israel. Para mayor información por favor visite
https://salt.security.

Inteligencia de datos generativa

El informe sobre el estado de la seguridad de las API de Salt Security revela que los ataques a las API aumentaron un 681 % en los últimos 12 meses

Immersed For Vision Pro le ofrece monitores virtuales adicionales

Google y Harvard mapean una pequeña porción del cerebro humano con extrema precisión

Información más reciente

OpenAI lanza GPT-4o, un modelo de IA en tiempo real que interactúa a través de voz, texto y visión – Tech Startups

Diseñado para el éxito: cómo las soluciones de software personalizadas de Cody impulsan a las empresas hacia adelante

Las 5 principales ventajas de un servicio profesional de extinción de incendios 24/7

Se informa que Apple está a punto de vender Vision Pro fuera de EE. UU.

Microsoft y Amazon invertirán 5.6 millones de dólares en Francia mientras Macron corteja a los gigantes tecnológicos estadounidenses – Tech Startups

Apple parchea la vulnerabilidad de iTunes en Windows