A reinicialização com tecnologia de IA: repensando a defesa para aplicações Web e APIs

Tricia Howard

escrito por

Tricia Howard

April 22, 2025

Tricia Howard

escrito por

Tricia Howard

Tricia Howard é uma artista que caiu no mundo da cibersegurança. Com um bacharelado em artes e interesses teatrais que vão desde “Guerra nas estrelas” até ópera, ela gosta de trazer um pouco de energia para o mundo cibernético. Quando ela não está ajudando pesquisadores a lançar suas histórias de forma eficiente e eficaz, sem perder a perspicácia técnica da peça, você pode encontrá-la escrevendo e cantando paródias sobre segurança; lendo e-mails frios em tom dramático; resolvendo quebra-cabeças; passeando com seu cachorro Pomsky, o Darth; e fazendo de tudo para as pessoas sorrirem. Você também pode assistir a Tricia ao vivo em seu show mensal: Resumo mensal de ameaças: The SIG Download!

Os ataques a Aplicações Web estão aumentando em um ritmo dramático.
Os ataques a Aplicações Web estão aumentando em um ritmo dramático.

A segurança passou por uma grande transformação em um curto espaço de tempo graças à inteligência artificial (IA). De tipos de ameaças completamente novos que nunca havíamos considerado até vulnerabilidades “recicladas” que estão usando novos vetores para se tornarem relevantes novamente, os defensores estão recebendo um curso intensivo sobre o poder que a IA pode exercer — tanto na frente criativa quanto na maliciosa.

Isso é particularmente verdadeiro para as equipes azuis que defendem a Camada 7. Invasores de estados-nação e adolescentes emocionados adotaram a IA para executar cibercrimes, implantando uma nova geração de ferramentas sofisticadas e automatizadas.

Os ataques a Aplicações Web estão aumentando em um ritmo dramático — nossos analistas observaram um aumento de 33% em relação ao ano anterior em 2024. E as APIs surgiram como um alvo em constante crescimento, com 150 bilhões de ataques documentados a APIs em 2024.

No entanto, não podemos culpar a IA por tudo; geralmente não há um único motivo para as mudanças na atividade maliciosa. O crescimento acelerado dos serviços em nuvem, a adoção de arquiteturas de microsserviços e novos níveis de conhecimento tecnológico também intensificam o drama, juntamente com uma série de outras influências, resultando em um ecossistema digital extremamente complexo.

Novo SOTI: Estilo de aplicação

O conhecimento é fundamental em tempos de mudança. Com o espírito de compartilhar esse conhecimento, lançamos um novo relatório State of the Internet (SOTI), State of Apps and API Security 2025: How AI Is Shifting the Digital Terrain. O relatório apresenta a análise da Akamai sobre as tendências que estão impactando aplicações web e APIs. Exploramos os contornos desse novo ambiente e explicamos como os profissionais de segurança podem proteger seus sistemas e dados críticos enquanto isso.

Estratégias de ataque contra aplicações e APIs

Embora os ataques a aplicações web e APIs estejam interligados, eles não são interdependentes. Existem muitos ataques a aplicações web fora das APIs e vice-versa. A metodologia e as táticas de exploração dependem da motivação e da capacidade técnica do invasor.

  • Os ataques a aplicações web visam componentes voltados para o usuário de aplicações web, como páginas de login voltadas para o público e geralmente empregam técnicas menos sofisticadas.

  • Os ataques a APIs concentram-se na exploração de vulnerabilidades nos pontos de extremidade da API de uma aplicação, incluindo ligações entre sistemas, e exigem uma compreensão mais profunda da estrutura e do comportamento de cada API.

Defesas independentes

Se os ataques em si não são mutuamente dependentes, suas defesas contra eles também não podem ser. As aplicações modernas dependem cada vez mais das APIs para funcionalidade, por isso é fundamental desenvolver estratégias de cibersegurança preparadas para o futuro que abordem ataques à web e às APIs.

Negligenciar esses aspectos pode deixá-lo vulnerável a ataques sofisticados e multivetoriais que exploram fragilidades tanto no front-end como no back-end de uma aplicação. Os recursos de automação fornecidos por modelos de grande linguagem (LLMs) e IA generativa tornam mais fácil do que nunca para um invasor executar uma campanha de botnet ou phishing em larga escala.

Ataques a APIs: Novos insights

Aqui na Akamai Security Intelligence Group (SIG), estamos cientes de que a ciência de dados e a pesquisa adequadas exigem uma revisão rigorosa dos dados gerados e uma análise da origem dos dados brutos. Também estamos cientes de que as APIs são atualmente um ambiente de trabalho privilegiado para invasores. Esses dois insights nos levaram à evolução mais recente em nossos conjuntos de dados de relatórios — pesquisa e análise aprimoradas de ameaças de API — e geraram algumas descobertas interessantes. Em 2024:

  • houve um aumento de 32% nos incidentes relacionados ao Top 10 de Segurança de APIs da OWASP, revelando falhas de autenticação e autorização que expõem dados e funcionalidades confidenciais

  • Houve um crescimento de 30% nos alertas de segurança relacionados à estrutura de segurança MITRE , à medida que os invasores usam IA e automação para explorar APIs  

  • 37% dos 116 bilhões de ataques na web na região da Europa, Oriente Médio e África (EMEA) tiveram como alvo APIs, superando a concentração entre todas as outras regiões globais

APIs alimentadas por IA provaram ser ainda menos seguras do que aquelas alimentadas por humanos. A maioria dessas APIs é acessível externamente com mecanismos de autenticação fracos e não foram devidamente testadas, tornando-as mais vulneráveis a ataques.

Isso pode causar consequências terríveis, dependendo de quais outras conexões a API possui. Lembra quando os invasores exploraram a API de um provedor de assinatura eletrônica para enviar faturas fraudulentas? Consequências terríveis, de fato.😬

Revisão segura de código não é superestimada

Ainda estamos na fase de aprendizado sobre ataques de API, mas o mundo real está empregando um método de educação de “teste em produção”. Os consumidores exigem inovação e os lucros exigem inovação rápida. 

A segurança deve ser a parte mais criteriosa de um processo de revisão de código, o que pode torná-la a etapa mais inibitória para lançar um produto no mercado. Infelizmente, isso frequentemente leva a menos testes e a cada vez mais código construído sobre código não testado. 

Verificações de segurança são inerentemente antitéticas ao propósito do desenvolvedor, mas minimizar os testes pode levar a alguns cenários abaixo do ideal.  

  • Alertas de segurança aumentados: nossa análise revelou que os alertas de segurança relacionados ao Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), ao Regulamento Geral sobre a Proteção de Dados (GDPR) e à Organização Internacional para Padronização (ISO)–27001 aumentaram 16%, 21% e 22%, respectivamente.

  • Desafios na detecção de abuso de APIs: esses desafios enfatizam a necessidade de monitoramento de anomalias e comportamentos em tempo real para identificar ameaças preventivamente.

  • APIs zumbis e shadow não gerenciadas: essas duas principais causas de incidentes de segurança de APIs fazem com que as equipes de segurança tenham dificuldade para manter inventários abrangentes de APIs.

Ataques a aplicações web: Novas descobertas

Como mencionamos anteriormente, ataques a aplicações web e APIs são interconectados, mas não interdependentes. Aqui está a parte “interconectada”: Nossa pesquisa revela um aumento substancial nos ataques web direcionados tanto a aplicações web quanto a APIs nos últimos dois anos em todo o mundo.

Diferentes lugares têm problemas diferentes, por isso analisamos setores, regiões e tendências de ataque específicos para fornecer múltiplas visões dos impactos do abuso da Camada 7. Algumas das descobertas mais significativas do relatório incluem:

  • Houve um crescimento de 65% nos ataques web direcionados a aplicações web e APIs do primeiro trimestre de 2023 ao quarto trimestre de 2024 — de 14 bilhões de ataques para mais de 29 bilhões.

  • Houve um crescimento de 94% nos ataques de negação de serviço distribuído (DDoS) da Camada 7 durante o mesmo período, passando de pouco mais de 500 bilhões de ataques mensais para mais de 1,1 trilhão.

  • Houve um aumento de 73% nos ataques na web direcionados à região da Ásia-Pacífico e do Japão, passando de 29 bilhões em 2023 para 51 bilhões em 2024.

  • O comércio continua sendo um dos principais alvos, com mais de 230 bilhões de ataques na web em 2024 — quase o triplo do número registrado no segundo maior alvo, a indústria de alta tecnologia. 

O papel da IA nos ataques — e nas defesas

O que um invasor pode fazer usando IA é um assunto popular. Quando se trata do uso malicioso de sistemas de IA, existe essencialmente um menu à la carte de opções:

  • Varredura automatizada de vulnerabilidades a uma velocidade antes impensável
  • Código malicioso gerado por IA
  • Ataques automatizados com bots com tecnologia de IA
  • Ataques DDoS volumétricos automatizados
  • Ataques baseados em comportamento (ataques lentos e de baixa intensidade que evitam a detecção e visam vulnerabilidades comuns de API)

O lado bom disso é que não são apenas os criminosos que se divertem com a IA. A IA também está ajudando a combater a ameaça com sistemas emergentes de firewall de aplicações web (WAF) com tecnologia de IA para auxiliar na identificação e mitigação de ciberameaças, como bots, ataques DDoS, scrapers e scanners.

Defesa proativa leva à conformidade

A conformidade tem um grande impacto na postura geral de gerenciamento de riscos de uma organização, por isso também abordamos a regulamentação neste relatório SOTI. Nem todas as ameaças aos negócios são cibernéticas — manter a conformidade em meio à miríade de regulamentações de segurança em evolução ao redor do mundo é um trabalho de tempo integral.

Abordamos requisitos de cibersegurança novos e atualizados para diferentes regiões neste SOTI, como a Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA) nos Estados Unidos e a Diretiva de Redes e Sistemas de Informação (NIS2)  na Europa. Diferentes regiões geográficas têm diferentes níveis de sofisticação regulatória, o que cria nuances com efeitos globais.

Por exemplo, enquanto a América do Norte está se concentrando em gerenciamento de riscos abrangente e relatórios obrigatórios de incidentes, a Europa está expandindo as regulamentações para incluir serviços móveis.

  • Os defensores precisam automatizar e inovar no mesmo nível e velocidade dos invasores, ao mesmo tempo em que mantêm os padrões governamentais, lidam com incidentes e tudo o mais que a equipe precisa que eles façam.  

  • Os reguladores estão respondendo ativamente à crescente ameaça a aplicações e APIs, portanto, quanto mais você se preparar para o futuro, melhor. É por isso que focar na defesa proativa pode torná-lo compatível e seguro (se a regulamentação for construída corretamente, é claro).

Assuma a violação e cubra seus fundamentos

A chave para se manter seguro na era da IA é estabelecer um plano de segurança abrangente focado em assumir a violação e cobrir seus fundamentos. Mesmo que você não esteja sendo impulsionado pelos poderes regulatórios, nunca houve um momento melhor para reexaminar as práticas de revisão atuais e reforçar os fundamentos.

Quantas violações e ataques em larga escala foram causados por cliques em um e-mail de phishing? Os invasores exploram brechas nas proteções básicas porque continuam a ter sucesso.

Enfatizar a validação aprimorada de entradas, práticas seguras de desenvolvimento e auditorias regulares de segurança não são práticas superestimadas e proporcionarão segurança a longo prazo, em vez de proteção reativa e baseada em modismos, que pode levar a resultados inesperados no futuro.

Conclusão: Baixe o SOTI

Veja a história completa: Baixe o novo relatório State of the Internet (SOTI), State of Apps and API Security 2025: How AI Is Shifting the Digital Terrain.



Tricia Howard

escrito por

Tricia Howard

April 22, 2025

Tricia Howard

escrito por

Tricia Howard

Tricia Howard é uma artista que caiu no mundo da cibersegurança. Com um bacharelado em artes e interesses teatrais que vão desde “Guerra nas estrelas” até ópera, ela gosta de trazer um pouco de energia para o mundo cibernético. Quando ela não está ajudando pesquisadores a lançar suas histórias de forma eficiente e eficaz, sem perder a perspicácia técnica da peça, você pode encontrá-la escrevendo e cantando paródias sobre segurança; lendo e-mails frios em tom dramático; resolvendo quebra-cabeças; passeando com seu cachorro Pomsky, o Darth; e fazendo de tudo para as pessoas sorrirem. Você também pode assistir a Tricia ao vivo em seu show mensal: Resumo mensal de ameaças: The SIG Download!