API: La superficie de ataque que nos conecta a todos

Internet es muy resistente y se autocura frente a perturbaciones aleatorias, pero es susceptible a errores humanos.

Cuanto más nos acercamos a la capa de aplicación, en particular a la capa humana, más nos preguntamos cómo funcionó todo esto. En los últimos años, los ataques cibernéticos de alto perfil, en particular los de ransomware, se han vuelto más frecuentes y generalizados. Sin embargo, no debería preocuparnos a menos que dependamos de elementos ridículos como el combustible, un bistec, viajes en avión o copias de seguridad de nuestros datos.

Este documento se centra en la seguridad de las API y, si ha analizado las API durante algún tiempo, sabrá que la seguridad suele ser una cuestión de último momento.

La API para el desarrollo de seguridad (es decir, las personas)

Al considerar las API, que permiten que los componentes de software se comuniquen entre sí, también se debe considerar la interfaz entre los equipos de seguridad y desarrollo.

La seguridad y el desarrollo nunca han compartido un lenguaje común, en parte debido a sus distintas experiencias, vocabularios y objetivos. Sin embargo, esta tensa relación se está volviendo más crucial, en particular con la inevitable presión de ofrecer más funciones, lanzar más rápido y adoptar la última tendencia de ingeniería bajo el lema "DevOps". ¿Qué se debe modificar para lograr una mayor alineación?

¿Qué sigue?

El tiempo de generación de valor (o tiempo hasta el primer valor, TTFV) es un término que se utiliza en la gestión de productos para indicar cuánto tiempo tarda un nuevo cliente o un cliente potencial en obtener valor del producto o servicio que le has vendido. Obviamente, el objetivo es "lo más rápido posible". Debemos reducir el tiempo de generación de valor de un nuevo profesional de la seguridad.

En referencia al alcance y efecto actuales de las violaciones, Jeremiah Grossman postula que no se debe a que las estrategias ofensivas hayan mejorado, sino más bien a que los enemigos han demostrado ser más hábiles para reclutar y entrenar para puestos de nivel inicial que el sector de seguridad de la información.

Protección de API

Comunicarse con el mundo

Las API están en todas partes. Puedes estar seguro de que cada aplicación o servicio accesible en Internet está respaldado de alguna manera por una API. Las API sustentan las aplicaciones móviles, la Internet de las cosas (IoT), los servicios de cliente basados en la nube, las aplicaciones internas y las aplicaciones de socios, entre otras cosas, en la actualidad.

Además de los problemas de seguridad que plantean las API, también hay que tener en cuenta la velocidad. A medida que el tráfico de las API se descarga desde los servidores de origen a los servidores de borde en el lado de la CDN, Akamai observa periódicamente mejoras en el rendimiento de las API. Esta disposición acelera la accesibilidad y garantiza la disponibilidad.

Sin embargo, hay un problema creciente: las organizaciones que protegen sus API con soluciones de seguridad de red convencionales obtienen, como mucho, resultados mediocres, si es que obtienen alguno. Esto se debe a que los estándares de seguridad de red tradicionales solo pueden lograr lo que se propongan.

La mayoría de los riesgos asociados a los sitios web y aplicaciones en línea también se aplicarán a las API, pero deben gestionarse de forma independiente.

Las API aumentan significativamente la superficie de amenaza contra la que las empresas deben defenderse. Por lo tanto, las organizaciones de defensa y desarrollo deben esforzarse más para resolver estas áreas problemáticas.

El 90% de las aplicaciones habilitadas para la web tendrán una mayor superficie de ataque en forma de API públicas en lugar de la interfaz de usuario para 2021, frente al 40% en 2019.

La buena noticia es que los ejecutivos corporativos y los equipos de seguridad ya han adoptado posturas de seguridad de API más sólidas. Sin embargo, hay suficientes posibilidades de expansión y los delincuentes seguramente están explotando las fallas de seguridad de API.

Descargue el informe técnico de Akamai para obtener más información sobre API: la superficie de ataque que nos conecta a todos solo en Whitepapers Online.