La tecnología sigue avanzando a un ritmo sin precedentes. El desarrollo y uso de interfaces de programación de aplicaciones (API) es un ejemplo particularmente notable.
El último Informe sobre el estado de seguridad de las API de Salt Labs descubrió que el tráfico general de la API aumentó un 168 % en 12 meses, y que el tráfico de ataques de la API aumentó un 117 % en el mismo período. Tal vez comprensiblemente, muchos CISO están luchando por mantenerse al día.
Según el mismo informe, el 94 por ciento de las organizaciones sufrieron un incidente de seguridad de API durante 12 meses. En este grupo se incluyen nombres conocidos como Experian, Peloton y Starbucks. Incluso Lego estuvo cerca de corregir una vulnerabilidad API potencialmente catastrófica a fines del año pasado. Las grandes empresas, con grandes presupuestos de seguridad, constantemente cometen incidentes de seguridad de API. Claramente, las técnicas de seguridad de aplicaciones tradicionales simplemente no están a la altura cuando se trata de proteger las API.
Con esto en mente, hablamos con Yaniv Balmas, vicepresidente de investigación de Salt Security para aclarar algunas de las preguntas más frecuentes sobre la seguridad de las API.
BN: ¿Puede la arquitectura Zero Trust proteger las API?
YB: Desafortunadamente, muchos riesgos de API no se pueden mitigar con la confianza cero. El objetivo de la confianza cero es restringir el acceso, mientras que las API necesitan acceso para funcionar. La mayoría de las API son públicas o abiertas, diseñadas para ser consumidas por Internet en su conjunto y por una gran base de clientes, lo que presenta desafíos únicos para la confianza cero.
Además, los ataques a las API generalmente ocurren en canales confiables y sesiones autenticadas.. Los atacantes saben que si pueden obtener las claves o credenciales de un usuario autorizado, pueden acceder a datos valiosos. Al aprovechar o secuestrar sesiones autenticadas con cookies de sesión activa robadas, tokens de autenticación, desafíos de autenticación de dos factores, claves API y otro material de autenticación, los piratas informáticos no se ven obstaculizados por la arquitectura de confianza cero. Tenga en cuenta que, según el informe State of API Security, un asombroso 94 % de las vulnerabilidades se producen contra API autenticadas.
Cuando se trata de confianza cero, las organizaciones deben ir más allá de los principios de autenticación y autorización. Requieren protección de tiempo de ejecución de API para validar continuamente el acceso y los comportamientos de un usuario autorizado contra los recursos de API, detectar anomalías e identificar a los malos.
BN: ¿Pueden las ofertas de seguridad en la nube proteger las API?
YB: Si bien algunos proveedores de seguridad en la nube brindan herramientas como administración de API o puertas de enlace de API, los productos puntuales como estos no son suficientes para proteger a las empresas contra los ataques de API. Estas herramientas tienen capacidades de seguridad de API limitadas tanto en la aplicación como en la capa de API, lo que deja a las API desprotegidas. Los ataques de API son en realidad exploits de día cero, lo que significa que las herramientas de seguridad diseñadas para buscar comportamientos”malos”conocidos (firmas o direcciones IP incluidas en la lista negra, por ejemplo) nunca podrán proteger adecuadamente las API. También vale la pena señalar aquí que, dado que las API son lógica de aplicación, los clientes de la nube tienen la responsabilidad final de protegerlos dentro del modelo de responsabilidad compartida para la seguridad.
BN: ¿Por qué no pueden IAM, WAF o API? puertas de enlace protegen las API?
YB: Si bien IAM, WAF y las puertas de enlace API son herramientas necesarias e importantes en la pila de seguridad de cada organización, no protegen las API, en gran parte porque no lo hacen. proporcionar la visibilidad o los controles de seguridad necesarios.
Los atacantes eluden constantemente los controles de acceso, así como la recolección de claves y tokens. Los piratas informáticos contemporáneos son expertos en eludir los controles de acceso, aprovechar una sesión de usuario autenticado o recopilar material de autenticación del tráfico, el almacenamiento del dispositivo o el código de la aplicación. Estas técnicas de ataque no pueden ser detectadas por las soluciones IAM, API o WAF.
Estas herramientas tampoco detectan problemas específicos de la API (por ejemplo, abuso de la lógica empresarial y explotación de la autorización) porque se basan en firmas y reglas para la detección de ataques. Para empeorar las cosas, los componentes de administración de API inherentes a ellos también pueden ser explotables.
Además, IAM, WAF y puertas de enlace de API se basan en proxy. Dado que los modelos de proxy ralentizan la comunicación de las API, las organizaciones normalmente no logran mediar cada API en uso con una puerta de enlace o WAF, especialmente para las API internas o internas. Esto da como resultado una falta de visibilidad sobre cómo se utilizan esas API.
BN: ¿Se pueden proteger las API con protección de carga de trabajo?
YB: Seguridad de carga de trabajo Las protecciones brindan muchos beneficios. Entre otras cosas, ayudan a proporcionar seguridad de infraestructura para garantizar que no esté ejecutando cargas de trabajo en versiones de software vulnerables y también son útiles para bloquear el acceso a una carga de trabajo a usuarios externos. Sin embargo, no brindan contexto a nivel de API o de aplicación, por lo que no logran proteger las API en sí mismas.
BN: ¿Qué tan efectivo es el desplazamiento a la izquierda para proteger las API?
YB: Si bien la implementación de la seguridad en la etapa de desarrollo es una práctica que vale la pena, la compatibilidad con shift-left no significa que todas las API estarán protegidas antes de la producción. Las herramientas de prueba para desarrolladores simplemente no pueden identificar todas las vulnerabilidades. Muchos problemas comunes de seguridad de las API no se pueden identificar como parte del diseño, el desarrollo y los análisis de compilación automatizados con herramientas comunes de análisis y prueba de seguridad: las fallas de la lógica comercial no se pueden detectar a menos que se ejerciten las API.
Crédito de la foto: Panchenko Vladimir/Shutterstock