Proteger las API: ¿misión imposible?
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
La seguridad de las API es difícil, pero con una formación adecuada, una planificación y un enfoque en las mejores prácticas, se pueden mitigar incluso las vulnerabilidades más insidiosas.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
%20(1).avif)
.avif)
