Los end-point de servicios web desconocidos y no administrados son solo
algunos de los desafíos que las organizaciones deben abordar para mejorar la
seguridad de las API. Las organizaciones que intenten reforzar la seguridad de
sus API deben prestar especial atención a las aplicaciones ocultas o no
administradas.
Las Shadow API son puntos finales de servicios web que ya no están en uso,
están desactualizados o no están documentados y, por lo tanto, no se
administran activamente.
Los equipos de aplicaciones y seguridad necesitan encontrar dichas API y
asegurarse de que cada una esté documentada o fuera de servicio para mitigar
el importante riesgo que presentan, afirma Rupesh Chokshi, vicepresidente
senior de seguridad de aplicaciones de Akamai.
El riesgo de las API no administradas
Está previsto que Chokshi presente una charla sobre el tema en la próxima
Conferencia RSA 2024 en San Francisco esta semana. En una presentación
titulada
«La vida secreta de las API: los últimos datos de ataques muestran lo que
están haciendo sus API», Chokshi identifica las API en la sombra como uno de varios problemas
posturales (o relacionados con la implementación) que las organizaciones deben
priorizar al abordar la seguridad de las API.
Una de las mayores sorpresas para las empresas que aumentan su visibilidad de
la actividad API es la gran cantidad de puntos finales ocultos en su entorno
que antes desconocían. El primer paso para permitir una mejor seguridad de API
es descubrir estos puntos finales ocultos y eliminarlos o incorporarlos al
programa de seguridad de API, señala.
La seguridad de API se ha convertido en un desafío cada vez más apremiante
para los líderes de seguridad y TI. En los últimos años, muchas organizaciones
han implementado ampliamente API para integrar sistemas, aplicaciones y
servicios dispares en un intento por optimizar los procesos comerciales e
impulsar la eficiencia operativa. Las API también han desempeñado un papel
central al permitir iniciativas de transformación digital al brindar a las
empresas una forma de modernizar las aplicaciones heredadas, adoptar servicios
en la nube y relacionarse de manera más eficiente con clientes, socios y otros
terceros.
El desafío de la proliferación de API
La proliferación resultante de API ha ampliado significativamente la
superficie de ataque en muchas organizaciones y las ha expuesto a mayores
riesgos.
Una
investigación de Akamai
a principios de este año encontró que el
29% de todos los ataques web
en 2023 tuvieron como objetivo las API. Los vectores de ataque comunes
incluían inyección SQL, secuencias de comandos entre sitios,
secuestro/manipulación de sesiones y ataques de recolección de datos.
Los atacantes se dirigieron a organizaciones de determinados sectores con más
frecuencia que a otros. Más del 44% de todos los ataques web en el sector del
comercio electrónico, por ejemplo, tuvieron como objetivo las API. De manera
similar, casi el 32% y el 19% de los ataques a aplicaciones web que las
organizaciones de servicios empresariales y las organizaciones de atención
médica, respectivamente, encontraron el año pasado se dirigieron a interfaces
de programación de aplicaciones.
Chokshi dice que los
desafíos de seguridad de API
que enfrentan la mayoría de las organizaciones se dividen en dos amplias
categorías: posturales y relacionados con el tiempo de ejecución. Los
problemas de postura resultan de debilidades en la implementación, como las
relacionadas con las API ocultas.
Un
informe de investigación de octubre de 2022 de Cequence Security
identificó más del 31% de todas las solicitudes maliciosas (o unos 5 mil
millones de 16,7 mil millones) dirigidas a API desconocidas y no
administradas.
Otros problemas posturales comunes incluyen el acceso a recursos no
autenticados, datos confidenciales en la URL, intercambio de recursos entre
orígenes demasiado permisivo y errores excesivos del cliente, que pueden
incluir problemas como una autenticación incorrecta.
Los problemas de tiempo de ejecución (o amenazas activas) más comunes que
suelen encontrar las organizaciones incluyen intentos no autenticados de
acceder a recursos API confidenciales; actividad de API con cargas JSON
inusuales, como tipos de datos inesperados; datos inesperados o con formato
incorrecto como parte de solicitudes de API; e intentos de extracción de
datos.
Dada la naturaleza en rápida evolución del panorama de amenazas API, las
organizaciones deben asegurarse de tener una visibilidad adecuada de su
entorno API.
Además de detectar y desmantelar las API ocultas, las organizaciones deben
mantener un inventario de sus API.
También necesitan fortalecer su postura API, por ejemplo, corrigiendo fallas
en el código y abordando problemas de configuración incorrecta; reforzar las
capacidades de detección y respuesta a amenazas; y establecer una capacidad de
búsqueda de amenazas API.
Para navegar por este terreno de forma segura, considere las siguientes
estrategias:
Descubrimiento y gobernanza holísticos de API: un
informe de Traceable revela
que, si bien el 59% de las organizaciones utilizan herramientas para
descubrir todas las API en uso, persiste una brecha preocupante. Las
empresas deben invertir en soluciones integrales que descubran, administren
y monitoreen las actividades de API de manera consistente.
Sumergirse en el contexto de la API: comprender las interacciones
entre las actividades de la API, los comportamientos de los usuarios y los
flujos de datos es esencial. Sólo cuando las organizaciones tengan esta
claridad podrán mitigar eficazmente los riesgos potenciales. Por lo tanto,
la monitorización continua y las alertas en tiempo real deberían ser la
norma.
Priorizar la educación sobre API: dado que la mayoría de las
organizaciones dependen de los servicios en la nube, se debe garantizar de
que los equipos técnicos y no técnicos comprendan la importancia de la
seguridad de las API debe ser una prioridad para toda la empresa.
Seguridad colaborativa: la seguridad de las API no es responsabilidad
exclusiva de la seguridad de TI. Dado el papel integral de las API a la hora
de impulsar la transformación digital, es vital un enfoque colaborativo que
involucre a las partes interesadas de toda la organización, desde
desarrolladores hasta altos ejecutivos.
Preparación para el futuro con flexibilidad: a medida que el panorama
digital evoluciona, también lo harán la naturaleza y la funcionalidad de las
API. Las organizaciones deben establecer estrategias de seguridad de API
adaptables que giren en respuesta a amenazas emergentes o necesidades
organizacionales cambiantes.
Fuente:
Dark Reading
