Más allá de las vulnerabilidades: Por qué el abuso de las API es un desafío crítico
Dado que las interfaces de programación de aplicaciones (API) cada vez adquieren una mayor importancia estratégica, muchas organizaciones están impulsando gradualmente el aumento de la madurez y la sofisticación de sus estrategias de seguridad de API. Estas iniciativas suelen comenzar con tres actividades principales:
- Implementación de un proceso de detección de API para crear un inventario completo y preciso de todas las API sancionadas y no sancionadas
- Eliminación de API no sancionadas
- Identificación y corrección de vulnerabilidades de software e implementación que dejan expuestas a ataques a las API sancionadas
Todas estas son prácticas esenciales y existen algunos recursos excelentes (como la lista de los 10 principales riesgos de seguridad de API según OWASP ) que proporcionan una hoja de ruta general de detección y eliminación de vulnerabilidades de API. Sin embargo, la detección de API y la corrección de vulnerabilidades de API es solo el principio de una estrategia de seguridad de API sólida.
Incluso si realiza una labor perfecta a la hora de catalogar las API y eliminar vulnerabilidades, pueden seguir siendo muy susceptibles de abusos. El impacto empresarial del abuso de API puede ser tan devastador como la explotación de vulnerabilidades.
El abuso de API es un tipo diferente de problema
Las primeras labores de seguridad formal de API se centraron en la protección contra ataques que explotan cualquier vulnerabilidad que concierne a la forma en que se codifican o configuran las API.
El abuso de API, no obstante, es un tipo diferente de problema. Los atacantes no explotan ningún tipo de vulnerabilidad técnica. En su lugar, utilizan API de formas no previstas por la organización que las creó.
Un problema difícil de detectar con efectos devastadores
Los efectos del abuso de API pueden ser devastadores. Al fin y al cabo, muchas organizaciones exponen su lógica empresarial y sus datos principales a través de las API. Lo único que un atacante necesita para robar esta propiedad intelectual es la API adecuada con las credenciales correctas.
El hecho de que el abuso de API sea tan difícil de detectar complica aún más las cosas. Dado que los atacantes utilizan credenciales válidas e interactúan con las API de una forma que se asemeja al uso legítimo, muchos productos de seguridad de API de primera generación no pueden detectarlos.
Toda API puede ser objeto de abusos
Todas las organizaciones que exponen sus API deben asumir que toda API puede enfrentarse a posibles casos de abuso. Piense, por ejemplo, en las aplicaciones y servicios de banca online, presupuestos y planificación financiera que muchas personas utilizamos a diario. Las API son la clave para que estas comodidades funcionen.
Un atacante que se haya hecho con credenciales podría aprovechar fácilmente la lógica empresarial inherente y los datos a los que se puede acceder a través de estas API para usar la propiedad intelectual en contra de los intereses comerciales de la institución financiera y de los intereses personales del titular de la cuenta.
Cómo defenderse de la creciente amenaza del abuso de API
No pierda de vista las vulnerabilidades de las API. Es más importante que nunca crear bases de seguridad de API que abarquen la detección, la evaluación y la corrección de vulnerabilidades.
Sin embargo, ampliar su estrategia de seguridad a toda la gama de amenazas de API, incluido el abuso de API, requiere tres importantes estrategias adicionales:
- Ampliar su perspectiva sobre los ataques a las API
- Analizar muchos más datos sobre las API
- Aprovechar las API para detectar abusos
Ampliar su perspectiva sobre lo que constituyen ataques a las API
Las lista de los 10 principales riesgos de seguridad de API según OWASP es un buen punto de partida para detectar y eliminar vulnerabilidades de API; pero no nos ayuda a conocer los abusos de API. Hasta que surjan marcos del sector contra el abuso de API, es importante que su equipo amplíe sus perspectivas sobre la naturaleza de los ataques de API.
Analizar muchos más datos sobre las API y la actividad
Otras soluciones de seguridad de API supervisan las llamadas de API individuales o, en el mejor de los casos, las sesiones a corto plazo. El problema es que, además de parecerse a la actividad legítima, el abuso de API puede desarrollarse en minutos, horas o días. Adoptar un enfoque basado en software como servicio (SaaS) es la única forma de capturar y analizar conjuntos de datos lo suficientemente grandes como para comprender realmente el uso de API en contexto, así como para detectar anomalías y abusos de API de actividad baja y lenta sobre la base del comportamiento de referencia.
Aprovechar las API para detectar casos de abuso
La velocidad y el volumen de la actividad de las API son demasiado grandes para que las personas puedan supervisarla y entenderla activamente. Al mismo tiempo, muchas técnicas de seguridad de API tradicionales no entienden el impacto empresarial de lo que están observando.
Este es un ámbito de aplicación excelente de las técnicas de aprendizaje automático e inteligencia artificial (IA). Si sigue los consejos de esta entrada de blog y cambia a SaaS, además de tener más datos para analizar, tendrá acceso a la potencia informática necesaria para realizar análisis de big data.
Nunca podremos predecir el futuro ni anticipar todos los métodos nuevos que los atacantes podrían usar para abusar de las API. Sin embargo, podemos utilizar la IA para determinar un estándar de comportamiento, identificar qué entidades empresariales pueden verse implicadas y detectar anomalías que indiquen posibles abusos.
Controles sofisticados de riesgos actuales
Incluso las API perfectas se pueden vulnerar. La identificación y mitigación los riesgos de seguridad de las API requiere controles de seguridad lo suficientemente sofisticados como para hacer frente a este panorama de amenazas complejo y en rápida evolución. Explore la solución Akamai API Security para que sus API estén mejor protegidas.
