Los end-point de servicios web desconocidos y no administrados son solo algunos de los desafíos que las organizaciones deben abordar para mejorar la seguridad de las API. Las organizaciones que intenten reforzar la seguridad de sus API deben prestar especial atención a las aplicaciones ocultas o no administradas.
Las Shadow API son puntos finales de servicios web que ya no están en uso, están desactualizados o no están documentados y, por lo tanto, no se administran activamente. Los equipos de aplicaciones y seguridad necesitan encontrar dichas API y asegurarse de que cada una esté documentada o fuera de servicio para mitigar el importante riesgo que presentan, afirma Rupesh Chokshi, vicepresidente senior de seguridad de aplicaciones de Akamai.
El riesgo de las API no administradas
Está previsto que Chokshi presente una charla sobre el tema en la próxima Conferencia RSA 2024 en San Francisco esta semana. En una presentación titulada "La vida secreta de las API: los últimos datos de ataques muestran lo que están haciendo sus API", Chokshi identifica las API en la sombra como uno de varios problemas posturales (o relacionados con la implementación) que las organizaciones deben priorizar al abordar la seguridad de las API.
Una de las mayores sorpresas para las empresas que aumentan su visibilidad de la actividad API es la gran cantidad de puntos finales ocultos en su entorno que antes desconocían. El primer paso para permitir una mejor seguridad de API es descubrir estos puntos finales ocultos y eliminarlos o incorporarlos al programa de seguridad de API, señala.
La seguridad de API se ha convertido en un desafío cada vez más apremiante para los líderes de seguridad y TI. En los últimos años, muchas organizaciones han implementado ampliamente API para integrar sistemas, aplicaciones y servicios dispares en un intento por optimizar los procesos comerciales e impulsar la eficiencia operativa. Las API también han desempeñado un papel central al permitir iniciativas de transformación digital al brindar a las empresas una forma de modernizar las aplicaciones heredadas, adoptar servicios en la nube y relacionarse de manera más eficiente con clientes, socios y otros terceros.
El desafío de la proliferación de API
La proliferación resultante de API ha ampliado significativamente la superficie de ataque en muchas organizaciones y las ha expuesto a mayores riesgos.
Una investigación de Akamai a principios de este año encontró que el 29% de todos los ataques web en 2023 tuvieron como objetivo las API. Los vectores de ataque comunes incluían inyección SQL, secuencias de comandos entre sitios, secuestro/manipulación de sesiones y ataques de recolección de datos.
Los atacantes se dirigieron a organizaciones de determinados sectores con más frecuencia que a otros. Más del 44% de todos los ataques web en el sector del comercio electrónico, por ejemplo, tuvieron como objetivo las API. De manera similar, casi el 32% y el 19% de los ataques a aplicaciones web que las organizaciones de servicios empresariales y las organizaciones de atención médica, respectivamente, encontraron el año pasado se dirigieron a interfaces de programación de aplicaciones.
Chokshi dice que los desafíos de seguridad de API que enfrentan la mayoría de las organizaciones se dividen en dos amplias categorías: posturales y relacionados con el tiempo de ejecución. Los problemas de postura resultan de debilidades en la implementación, como las relacionadas con las API ocultas.
Un informe de investigación de octubre de 2022 de Cequence Security identificó más del 31% de todas las solicitudes maliciosas (o unos 5 mil millones de 16,7 mil millones) dirigidas a API desconocidas y no administradas.
Otros problemas posturales comunes incluyen el acceso a recursos no autenticados, datos confidenciales en la URL, intercambio de recursos entre orígenes demasiado permisivo y errores excesivos del cliente, que pueden incluir problemas como una autenticación incorrecta.
Los problemas de tiempo de ejecución (o amenazas activas) más comunes que suelen encontrar las organizaciones incluyen intentos no autenticados de acceder a recursos API confidenciales; actividad de API con cargas JSON inusuales, como tipos de datos inesperados; datos inesperados o con formato incorrecto como parte de solicitudes de API; e intentos de extracción de datos.
Dada la naturaleza en rápida evolución del panorama de amenazas API, las organizaciones deben asegurarse de tener una visibilidad adecuada de su entorno API. Además de detectar y desmantelar las API ocultas, las organizaciones deben mantener un inventario de sus API.
También necesitan fortalecer su postura API, por ejemplo, corrigiendo fallas en el código y abordando problemas de configuración incorrecta; reforzar las capacidades de detección y respuesta a amenazas; y establecer una capacidad de búsqueda de amenazas API.
Para navegar por este terreno de forma segura, considere las siguientes estrategias:
- Descubrimiento y gobernanza holísticos de API: un informe de Traceable revela que, si bien el 59% de las organizaciones utilizan herramientas para descubrir todas las API en uso, persiste una brecha preocupante. Las empresas deben invertir en soluciones integrales que descubran, administren y monitoreen las actividades de API de manera consistente.
- Sumergirse en el contexto de la API: comprender las interacciones entre las actividades de la API, los comportamientos de los usuarios y los flujos de datos es esencial. Sólo cuando las organizaciones tengan esta claridad podrán mitigar eficazmente los riesgos potenciales. Por lo tanto, la monitorización continua y las alertas en tiempo real deberían ser la norma.
- Priorizar la educación sobre API: dado que la mayoría de las organizaciones dependen de los servicios en la nube, se debe garantizar de que los equipos técnicos y no técnicos comprendan la importancia de la seguridad de las API debe ser una prioridad para toda la empresa.
- Seguridad colaborativa: la seguridad de las API no es responsabilidad exclusiva de la seguridad de TI. Dado el papel integral de las API a la hora de impulsar la transformación digital, es vital un enfoque colaborativo que involucre a las partes interesadas de toda la organización, desde desarrolladores hasta altos ejecutivos.
- Preparación para el futuro con flexibilidad: a medida que el panorama digital evoluciona, también lo harán la naturaleza y la funcionalidad de las API. Las organizaciones deben establecer estrategias de seguridad de API adaptables que giren en respuesta a amenazas emergentes o necesidades organizacionales cambiantes.
Fuente: Dark Reading