Com mais de 10 mil APIs, empresas falham na proteção deste ativo, aponta estudo da F5
- Pesquisa SOAS 2024 analisa os desafios de 700 CIOs e CISOs globais, incluindo 28 do Brasil;
- 41% das organizações contam com pelo menos o mesmo número de APIs (Application Programming Interfaces) e aplicações;
- Disseminação de plataformas como ChatGPT torna o quadro ainda mais desafiador, já que a base da IA são APIs usadas para compartilhar e consumir dados de terceiros;
- CISOs lutam também com a gestão e proteção de ativos digitais rodando em ambiente multinuvem;
- 38% das empresas utilizam simultaneamente 6 nuvens diferentes;
- Uso de IA na cybersecurity avança: 35% adotam essa estratégia para ajustar políticas de segurança e reconfigurar suas defesas.
A F5, provedora de soluções de segurança cibernética, anunciou as descobertas do estudo State of Application Strategy 2024 . Este relatório foi construído a partir de entrevistas com 700 CIOs e CISOs de todo o mundo, incluindo 28 do Brasil. Pela primeira vez deste que essa pesquisa começou a ser feita, em 2014, descobriu-se que 41% das organizações contam com pelo menos o mesmo número de aplicações e APIs (Application Programming Interfaces). As empresas analisadas têm um faturamento anual que fica entre 200 milhões e mais de 10 bilhões de dólares. Este segmento – com organizações que faturam o equivalente a R$ 50 bilhões – utiliza, em média, 1013 aplicações. Trata-se de plataformas como o Internet Banking dos grandes bancos, o engine dos maiores portais de e-commerce do Brasil, ou os principais portais de e-Gov. “O que surpreende é que, neste porte de empresas, o número de APIs (Application Programming Interfaces) supera em muito o de aplicações. Esse mercado trabalha, em média, com 1394 APIs”, diz Roberto Ricossa, Vice-Presidente da F5 LATAM.
No caso das empresas que ficam entre 1 e 10 bilhões de dólares a proporção é 453 APIs para 150 aplicações. Até mesmo empresas que esbarram no faturamento de 200 milhões de dólares contam, hoje, com um grande número de APIs: 293. “Vale destacar que, entre o universo de usuários das soluções F5 de proteção de aplicações e APIs, encontramos as maiores empresas do mundo. Essas organizações lidam, hoje, com mais de 10 mil APIs”.
Falta de visibilidade sobre APIs lícitas e Shadow APIs
Tudo indica que a proliferação de APIs seguirá se expandindo em 2024 e o desafio de proteger essas linguagens críticas, também. “Hoje é praticamente inviável realizar negócios digitais sem consumir e publicar APIs”, observa Hilmar Becker, Diretor Regional da F5 Brasil. “Ecossistemas como Open Finance, a disseminação das SuperApps e a conexão 24×7 entre aplicações de empresas diferentes explicam essa dependência”. Essa evolução está acontecendo de forma desordenada, com as organizações primeiramente consumindo e publicando APIs para, somente num segundo momento, endereçarem o desafio de proteger essas linguagens. “Há situações em que, de cada 10 empresas usuárias de APIs, somente uma mapeou e autenticou suas APIs, tendo clareza sobre quais APIs são lícitas, quais são Shadow APIs e devem ser expulsas da esteira de desenvolvimento”.
O quadro fica ainda mais desafiador quando se compreende que o funcionamento de plataformas de IA como o ChatGPT é baseado em Large Language Models (LLM); Esta linguagem utiliza APIs para compartilhar e consumir dados estruturados e não estruturados com terceiros.
O estudo SOAS 2024 revela, ainda, que aproximadamente 90% das organizações utilizam a nuvem híbrida. 38% dos entrevistados, em especial, afirmam implementar suas aplicações e API em até seis nuvens. “Essa realidade aumenta a complexidade da gestão de um ambiente baseado em nuvens completamente diferentes uma da outra. Desde a operação até o billing, tudo muda de nuvem para nuvem. Isso amplia a vulnerabilidade a ataques e dificulta a proteção deste todo”, explica Kleython Kell, Solutions Engineer da F5 Brasil. Em 2023, somente 20% dos entrevistados trabalhavam com até 6 ambiente diferentes, incluindo sites on-premises, Edge Computing e nuvens públicas.
Multinuvem impõe desafios de gestão, otimização e segurança
Numa resposta de múltipla escolha, os líderes entrevistados afirmaram que a adoção do modelo multicloud traz problemas de gestão (34%), dificulta a migração de aplicações entre múltiplas nuvens (32%), afeta a otimização da performance (31%) e, finalmente, impede a adoção de políticas de segurança de forma consistente em todas as nuvens (31%).
Finalmente, o estudo SOAS 2024 analisa os ganhos que tecnologias de cybersecurity baseadas em Inteligência Artificial (IA) estão trazendo para os CISOs. Numa resposta de múltipla escolha, 35% adotam essa estratégia para ajustar automaticamente as políticas de segurança e gerar novas configurações de defesa para enfrentar ameaças detectadas. 29% dizem que a IA está melhorando a eficácia de soluções para detectar e neutralizar, de forma preditiva, ameaças. 19% exploram a IA para construir análises para o Board sobre ataques digitais. 17% usam a linguagem natural da IA para explorar e analisar dados estruturados e não estruturados sobre cybersecurity.
Para Kell, uma solução possível para tantos e novos desafios é a adoção de uma plataforma de proteção de aplicações e APIs que provê uma visão centralizada dos diversos ativos digitais em ambiente multinuvem. “Com o F5 Distributed Cloud Services, IA, ML e análise comportamental atuam na escala de milhões de transações por segundo e com a máxima performance, de modo a preservar a UX do consumidor. Essa plataforma roda na nuvem global da F5, garantindo baixa latência onde quer que esteja implementada a aplicação. O gestor opera uma única interface, com a certeza de que atingirá a granularidade que for necessária para analisar cada incidente, cada elemento da nuvem, cada API. Mais do que tecnologia, trata-se de uma inteligência que conta com um time de cientistas de dados que trabalha 24×7 para proteger os dados que sustentam a vida de países, empresas e pessoas”.
###
Sobre a F5
A F5, uma empresa de segurança e serviços para aplicações multicloud, tem o compromisso de dar vida a um mundo digital melhor. A F5 é parceira das maiores e mais avançadas organizações do mundo, protegendo e otimizando todas as aplicações e APIs em qualquer lugar – on-premises, na nuvem ou na borda. A F5 capacita as organizações a fornecer a seus clientes experiências digitais seguras excepcionais e a permanecer continuamente à frente das ameaças. Para maiores informações, acesse f5.com (NASDAQ: FFIV).
Você pode também seguir @F5 no X (Twitter) ou visitar-nos no LinkedIn e no Facebook para obter mais informações acerca da F5, seus parceiros e tecnologias. F5, AppWorld, Distributed Cloud Services, BIG-IP, NGINX e AI Data Fabric são marcas registradas, marcas de serviço ou nomes comerciais da F5, Inc., nos EUA e em outros países. Todos os outros nomes de produtos e empresas aqui mencionados podem ser marcas registradas de seus respectivos proprietários.