À medida que avançamos para 2025, a importância crítica da segurança de aplicativos e APIs nunca foi tão evidente. Em 2024, as APIs solidificaram seu papel como a espinha dorsal da inovação digital. No entanto, esse aumento na adoção de APIs também expandiu a superfície de ataque, com 27% dos ataques de API visando vulnerabilidades de lógica de negócios , um aumento de 10% em relação ao ano anterior. Para agravar o desafio, 46% dos ataques de Account Takeover (ATO) se concentraram em endpoints de API, ante 35% em 2022.
Esses números ilustram a espada de dois gumes da transformação orientada por API — ao mesmo tempo em que permitem conectividade e eficiência, eles também criam novas vulnerabilidades. À medida que as empresas continuam a adotar APIs como uma pedra angular de suas estratégias digitais, o imperativo de proteger esses caminhos críticos cresce. A questão para 2025 não é apenas sobre a defesa contra ameaças específicas de API, mas sobre a construção proativa de uma infraestrutura segura e resiliente para dar suporte à inovação sem comprometimento.
Adoção do DevSecOps impulsionada pelo crescimento da API:
2025 marca quatro anos do boom da API. A pesquisa da Imperva revelou que a empresa média gerenciou 613 endpoints de API no ano passado, enquanto o tráfego de API constituiu mais de 71% do tráfego da web . Infelizmente, os recursos de integração de dados contínuos das APIs as tornam um alvo lucrativo para invasores. Problemas de segurança relacionados à API agora custam às organizações até US$ 87 bilhões anualmente.
Os riscos crescentes associados às APIs levarão as organizações a fortalecer sua segurança desde o início do desenvolvimento em 2025. À medida que mais empresas adotarem APIs, veremos uma mudança em direção às práticas DevSecOps, incorporando a segurança aos processos de desenvolvimento.
Maior foco na descoberta de API:
Da mesma forma, à medida que o volume e as ameaças da API aumentam e as ferramentas de descoberta de API se tornam mais comuns, as organizações serão forçadas a se concentrar mais na descoberta de API em 2025. As empresas só podem se proteger construindo visibilidade contínua, categorização e monitoramento de dados que fluem por meio de APIs. Além disso, ao descobrir APIs ocultas, os desenvolvedores de software e administradores de segurança podem obter uma visão mais precisa sobre como abordar potenciais problemas de segurança.
Maturidade da segurança da API em 2025:
Os Chief Information Security Officers (CISOs) estão cada vez mais cientes do número de APIs dentro de suas organizações. Essa percepção está impulsionando um esforço concentrado para proteger APIs, o que significa que a segurança de API atingirá um novo nível de maturidade em 2025.
Dessa forma, este ano marcará um momento crucial em que a maioria das empresas adotará medidas avançadas de segurança de API, como correção automatizada, ou as incluirá em seus planos estratégicos para os próximos 24 meses.
Violações relacionadas à API e LLMs:
À medida que as organizações continuam a adotar aplicativos baseados em modelos de grande linguagem (LLM), componentes personalizados, como agentes LLM, se tornarão cada vez mais difundidos.
Como esses componentes geralmente dependem de APIs para funcionar e se integrar a outros sistemas, em 2025, provavelmente testemunharemos pelo menos uma violação de segurança de alto perfil envolvendo um aplicativo LLM, especificamente relacionada a vulnerabilidades em suas conexões de API. Essa violação atrairá atenção considerável, destacando a necessidade urgente de medidas de segurança de API mais robustas.
Riscos de segurança de injeção rápida e IA:
A IA generativa é uma das tecnologias mais empolgantes do mundo atualmente. No entanto, ela também introduziu um novo vetor de ameaça — injeção rápida — para o qual pouca ou nenhuma segurança está disponível atualmente. Em 2025, um ataque de injeção rápida provavelmente resultará em uma empresa global líder sofrendo uma violação significativa de propriedade intelectual.
Essa violação mergulhará a IA no "vale da desilusão" mais rápido do que o previsto. Os riscos de segurança que se tornam aparentes devido a essa violação abalarão a confiança corporativa e minarão os benefícios e a confiabilidade percebidos dos sistemas de IA.
IA Generativa e Cibercrime:
A IA generativa já reduziu a barreira de entrada para cibercriminosos, permitindo que até mesmo atores inexperientes lancem ataques relativamente sofisticados de forma rápida, fácil e em escala. É provável que esse problema piore ao longo do próximo ano.
Em 2025, poderemos ver uma ferramenta de ataque cibernético que requer apenas o nome de um alvo corporativo para desencadear uma série de atividades maliciosas. Os criminosos cibernéticos podem usar essa ferramenta para gerar e enviar e-mails de phishing automaticamente. Uma vez dentro de uma rede alvo, eles podem aproveitar a tecnologia para obter mais acesso. A facilidade de uso e a eficácia dessas ferramentas provavelmente aumentarão o volume geral e a sofisticação dos ataques cibernéticos.
Ataques à cadeia de suprimentos de código aberto:
À medida que as cadeias de suprimentos se tornam mais complexas e interconectadas, provavelmente testemunharemos um ataque significativo à cadeia de suprimentos de código aberto, como o ataque XZ Utils (SSH), em 2024 — apenas com uma probabilidade maior de sucesso. Como tal, as organizações devem adotar uma abordagem de segurança multicamadas para reduzir o risco desses ataques.
Essa abordagem inclui a implementação de medidas de segurança rigorosas, como auditorias regulares de código, varredura automatizada de vulnerabilidades e controles de acesso robustos, bem como o compartilhamento de inteligência de ameaças e melhores práticas dentro da comunidade de segurança cibernética. Além disso, manter um inventário claro de todos os componentes de software e suas dependências ajudará as organizações a identificar e abordar vulnerabilidades rapidamente.
eBPF transformará os controles de segurança:
O Extended Berkeley Packet Filter (eBPF) permite a execução de código personalizado dentro do kernel de um sistema operacional, aumentando a segurança por meio de monitoramento em tempo real e detecção avançada de ameaças. Em 2025, ele provavelmente revolucionará a segurança ao habilitar a aplicação de políticas diretamente dentro do kernel do sistema operacional em sistemas Linux e Windows.
Esta poderosa tecnologia substituirá controles de segurança tradicionais e incômodos por um padrão mais eficiente e flexível. Ela se destacará particularmente na proteção de sistemas e aplicativos complexos, incluindo aqueles que alavancam LLMs.
Fique seguro em 2025 com Imperva e Thales:
A Thales e a Imperva fornecem plataformas inovadoras projetadas para reduzir a complexidade e os riscos de gerenciar e proteger mais aplicativos, dados e identidades do que qualquer outra empresa pode. Nossas soluções permitem que mais de 35.000 organizações forneçam serviços digitais confiáveis a bilhões de consumidores em todo o mundo todos os dias.
Entre em contato conosco para descobrir como podemos proteger sua organização em 2025.
Nanhi Singh
Chefe de Produtos de Segurança de Aplicativos e Diretor de Atendimento ao Cliente da Imperva
Comments