A reinicialização com tecnologia de IA: repensando a defesa para aplicações Web e APIs

O conhecimento é fundamental em tempos de mudança. Com o espírito de compartilhar esse conhecimento, lançamos um novo relatório State of the Internet (SOTI), State of Apps and API Security 2025: How AI Is Shifting the Digital Terrain. O relatório apresenta a análise da Akamai sobre as tendências que estão impactando aplicações web e APIs. Exploramos os contornos desse novo ambiente e explicamos como os profissionais de segurança podem proteger seus sistemas e dados críticos enquanto isso.

Embora os ataques a aplicações web e APIs estejam interligados, eles não são interdependentes. Existem muitos ataques a aplicações web fora das APIs e vice-versa. A metodologia e as táticas de exploração dependem da motivação e da capacidade técnica do invasor.

• Os ataques a aplicações web visam componentes voltados para o usuário de aplicações web, como páginas de login voltadas para o público e geralmente empregam técnicas menos sofisticadas.

• Os ataques a APIs concentram-se na exploração de vulnerabilidades nos pontos de extremidade da API de uma aplicação, incluindo ligações entre sistemas, e exigem uma compreensão mais profunda da estrutura e do comportamento de cada API.

Se os ataques em si não são mutuamente dependentes, suas defesas contra eles também não podem ser. As aplicações modernas dependem cada vez mais das APIs para funcionalidade, por isso é fundamental desenvolver estratégias de cibersegurança preparadas para o futuro que abordem ataques à web e às APIs.

Negligenciar esses aspectos pode deixá-lo vulnerável a ataques sofisticados e multivetoriais que exploram fragilidades tanto no front-end como no back-end de uma aplicação. Os recursos de automação fornecidos por modelos de grande linguagem (LLMs) e IA generativa tornam mais fácil do que nunca para um invasor executar uma campanha de botnet ou phishing em larga escala.

Aqui na Akamai Security Intelligence Group (SIG), estamos cientes de que a ciência de dados e a pesquisa adequadas exigem uma revisão rigorosa dos dados gerados e uma análise da origem dos dados brutos. Também estamos cientes de que as APIs são atualmente um ambiente de trabalho privilegiado para invasores. Esses dois insights nos levaram à evolução mais recente em nossos conjuntos de dados de relatórios — pesquisa e análise aprimoradas de ameaças de API — e geraram algumas descobertas interessantes. Em 2024:

• houve um aumento de 32% nos incidentes relacionados ao Top 10 de Segurança de APIs da OWASP, revelando falhas de autenticação e autorização que expõem dados e funcionalidades confidenciais

• Houve um crescimento de 30% nos alertas de segurança relacionados à estrutura de segurança MITRE , à medida que os invasores usam IA e automação para explorar APIs  

• 37% dos 116 bilhões de ataques na web na região da Europa, Oriente Médio e África (EMEA) tiveram como alvo APIs, superando a concentração entre todas as outras regiões globais

APIs alimentadas por IA provaram ser ainda menos seguras do que aquelas alimentadas por humanos. A maioria dessas APIs é acessível externamente com mecanismos de autenticação fracos e não foram devidamente testadas, tornando-as mais vulneráveis a ataques.

Isso pode causar consequências terríveis, dependendo de quais outras conexões a API possui. Lembra quando os invasores exploraram a API de um provedor de assinatura eletrônica para enviar faturas fraudulentas? Consequências terríveis, de fato.😬

Ainda estamos na fase de aprendizado sobre ataques de API, mas o mundo real está empregando um método de educação de “teste em produção”. Os consumidores exigem inovação e os lucros exigem inovação rápida. 

A segurança deve ser a parte mais criteriosa de um processo de revisão de código, o que pode torná-la a etapa mais inibitória para lançar um produto no mercado. Infelizmente, isso frequentemente leva a menos testes e a cada vez mais código construído sobre código não testado. 

Verificações de segurança são inerentemente antitéticas ao propósito do desenvolvedor, mas minimizar os testes pode levar a alguns cenários abaixo do ideal.  

• Alertas de segurança aumentados: nossa análise revelou que os alertas de segurança relacionados ao Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), ao Regulamento Geral sobre a Proteção de Dados (GDPR) e à Organização Internacional para Padronização (ISO)–27001 aumentaram 16%, 21% e 22%, respectivamente.

• Desafios na detecção de abuso de APIs: esses desafios enfatizam a necessidade de monitoramento de anomalias e comportamentos em tempo real para identificar ameaças preventivamente.

• APIs zumbis e shadow não gerenciadas: essas duas principais causas de incidentes de segurança de APIs fazem com que as equipes de segurança tenham dificuldade para manter inventários abrangentes de APIs.

Como mencionamos anteriormente, ataques a aplicações web e APIs são interconectados, mas não interdependentes. Aqui está a parte “interconectada”: Nossa pesquisa revela um aumento substancial nos ataques web direcionados tanto a aplicações web quanto a APIs nos últimos dois anos em todo o mundo.

Diferentes lugares têm problemas diferentes, por isso analisamos setores, regiões e tendências de ataque específicos para fornecer múltiplas visões dos impactos do abuso da Camada 7. Algumas das descobertas mais significativas do relatório incluem:

• Houve um crescimento de 65% nos ataques web direcionados a aplicações web e APIs do primeiro trimestre de 2023 ao quarto trimestre de 2024 — de 14 bilhões de ataques para mais de 29 bilhões.

• Houve um crescimento de 94% nos ataques de negação de serviço distribuído (DDoS) da Camada 7 durante o mesmo período, passando de pouco mais de 500 bilhões de ataques mensais para mais de 1,1 trilhão.

• Houve um aumento de 73% nos ataques na web direcionados à região da Ásia-Pacífico e do Japão, passando de 29 bilhões em 2023 para 51 bilhões em 2024.

• O comércio continua sendo um dos principais alvos, com mais de 230 bilhões de ataques na web em 2024 — quase o triplo do número registrado no segundo maior alvo, a indústria de alta tecnologia. 

O que um invasor pode fazer usando IA é um assunto popular. Quando se trata do uso malicioso de sistemas de IA, existe essencialmente um menu à la carte de opções:

• Varredura automatizada de vulnerabilidades a uma velocidade antes impensável
• Código malicioso gerado por IA
• Ataques automatizados com bots com tecnologia de IA
• Ataques DDoS volumétricos automatizados
• Ataques baseados em comportamento (ataques lentos e de baixa intensidade que evitam a detecção e visam vulnerabilidades comuns de API)

O lado bom disso é que não são apenas os criminosos que se divertem com a IA. A IA também está ajudando a combater a ameaça com sistemas emergentes de firewall de aplicações web (WAF) com tecnologia de IA para auxiliar na identificação e mitigação de ciberameaças, como bots, ataques DDoS, scrapers e scanners.

A conformidade tem um grande impacto na postura geral de gerenciamento de riscos de uma organização, por isso também abordamos a regulamentação neste relatório SOTI. Nem todas as ameaças aos negócios são cibernéticas — manter a conformidade em meio à miríade de regulamentações de segurança em evolução ao redor do mundo é um trabalho de tempo integral.

Abordamos requisitos de cibersegurança novos e atualizados para diferentes regiões neste SOTI, como a Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA) nos Estados Unidos e a Diretiva de Redes e Sistemas de Informação (NIS2)  na Europa. Diferentes regiões geográficas têm diferentes níveis de sofisticação regulatória, o que cria nuances com efeitos globais.

Por exemplo, enquanto a América do Norte está se concentrando em gerenciamento de riscos abrangente e relatórios obrigatórios de incidentes, a Europa está expandindo as regulamentações para incluir serviços móveis.

• Os defensores precisam automatizar e inovar no mesmo nível e velocidade dos invasores, ao mesmo tempo em que mantêm os padrões governamentais, lidam com incidentes e tudo o mais que a equipe precisa que eles façam.  

• Os reguladores estão respondendo ativamente à crescente ameaça a aplicações e APIs, portanto, quanto mais você se preparar para o futuro, melhor. É por isso que focar na defesa proativa pode torná-lo compatível e seguro (se a regulamentação for construída corretamente, é claro).

A chave para se manter seguro na era da IA é estabelecer um plano de segurança abrangente focado em assumir a violação e cobrir seus fundamentos. Mesmo que você não esteja sendo impulsionado pelos poderes regulatórios, nunca houve um momento melhor para reexaminar as práticas de revisão atuais e reforçar os fundamentos.

Quantas violações e ataques em larga escala foram causados por cliques em um e-mail de phishing? Os invasores exploram brechas nas proteções básicas porque continuam a ter sucesso.

Enfatizar a validação aprimorada de entradas, práticas seguras de desenvolvimento e auditorias regulares de segurança não são práticas superestimadas e proporcionarão segurança a longo prazo, em vez de proteção reativa e baseada em modismos, que pode levar a resultados inesperados no futuro.