Cómo reducir la proliferación de API con la detección de API
Si es un profesional de la seguridad, lo más seguro es que ya esté familiarizado con el concepto de proliferación. Este problema se produce cada vez que se pierde el control de la proliferación en un posible vector de ataque, y afecta a todo tipo de datos, desde los permisos hasta las contraseñas.
Es muy parecido a la película de los Gremlins de la década de los 80. Empieza con una adorable criatura peluda pero, a medida que avanza la historia, se ve rodeado por un grupo de seres problemáticos que chillan y lo destrozan todo.
Dejando a un lado las comparaciones cinematográficas, existe una proliferación con la que muchas organizaciones no están familiarizadas, y se está convirtiendo en un vector de ataque popular: la proliferación de las API.
Gestión de gremlins (o proliferación de API)
Para cada aplicación que cree, cada carga de trabajo que migre a la nube y cada herramienta que utilicen sus empleados para colaborar, existen API que intercambian datos en segundo plano. Y el ritmo de la innovación está haciendo que sus API se conviertan en gremlins.
La proliferación de API es un problema común para las organizaciones que tienen varios equipos de desarrollo y una amplia variedad de aplicaciones y servicios. Cuanto mayor es la demanda de innovación, más API se crean, por lo que cada vez es más difícil saber cuántas hay, cómo se usan y qué tipo de datos envían cuando reciben una solicitud.
La proliferación de las API puede causar ineficiencias en el desarrollo, un aumento de los gastos, problemas de rendimiento y desperdicio de recursos. También puede causar confusión sobre el propósito y el uso de determinadas API, lo que dificulta que los desarrolladores encuentren API que satisfagan sus necesidades o comprendan cómo interactúan entre sí. Las empresas dependen cada vez más de las API, por lo que es importante comprender cómo se produce la proliferación y cómo se puede prevenir o gestionar de forma eficaz.
En esta entrada del blog, analizaremos cómo se produce la proliferación de API y qué pueden hacer las organizaciones para evitar que suceda. Comprender estas estrategias le ayudará a gestionar mejor sus API y a garantizar que sus aplicaciones sigan siendo eficientes y puedan utilizarse durante años.
Cómo se produce la proliferación de API
La proliferación de API se debe a varias razones, como la gestión deficiente, la falta de control, la falta de visibilidad de las API existentes y la documentación inadecuada. Sin un control y una visibilidad adecuados, las organizaciones pueden encontrarse con demasiadas API que no se utilizan o gestionan correctamente.
La rotación de empleados también contribuye en gran medida a la aparición de API inactivas, ocultas y zombis. Piense en la velocidad a la que los desarrolladores entran y salen de las organizaciones: ¿qué posibilidades hay de que tengan tiempo para transferir sus conocimientos o finalizar proyectos antes de su último día de trabajo? Incluso los desarrolladores con las mejores intenciones pueden pasar cosas por alto durante el traspaso.
Además, las API "heredadas" como resultado de una fusión o adquisición suelen quedar en el olvido. Durante el complicado proceso de integración de sistemas, es habitual que se pierdan los inventarios (o incluso que nunca hayan existido). Si las API de la empresa adquirida están mal documentadas, la organización queda expuesta a riesgos significativos, como el riesgo de lo desconocido.
A menudo, suele dejarse intacta una versión anterior de una API con una seguridad inferior o una vulnerabilidad conocida. Mientras se actualiza el software, es posible que una versión anterior deba coexistir con otra más reciente durante un tiempo. Además, es posible que la persona encargada de activar las versiones adecuadas de una API y de desactivar las demás abandone la empresa, reciba una nueva tarea o se olvide de eliminar la versión anterior.
Consecuencias de la proliferación de API
En lo que respecta a la seguridad, la proliferación de API ofrece a los ciberdelincuentes más oportunidades para explotar las vulnerabilidades si las API de la organización no cuentan con la protección y configuración adecuadas. Cuando las API proliferan hasta perder el control, las organizaciones pierden visibilidad sobre cómo se interconectan las aplicaciones, los sistemas y los recursos, como los datos confidenciales, lo que impide tomar decisiones sobre su arquitectura e infraestructura. Es prácticamente imposible controlar el uso de las API si no se sabe exactamente cuántas hay.
Y no es posible proteger lo que no se ve.
En lo que respecta al impacto empresarial, la proliferación de API puede causar una disminución del rendimiento. Añadir y mantener varias API aumenta la complejidad de la gestión, lo que aumenta el tiempo de respuesta y la latencia al realizar solicitudes. Además, la proliferación de API puede aumentar los costes, ya que las organizaciones deben invertir más recursos en gestión de API.
¿Qué es la detección de API y cómo ayuda a reducir la proliferación?
La detección de API es un proceso y un conjunto de capacidades que ayudan a las organizaciones a identificar, catalogar, gestionar y medir el riesgo de sus API. Si se realiza correctamente, la detección de API puede ayudar a reducir la proliferación y mejorar la estrategia de seguridad.
La detección de API también ayuda a las organizaciones a comprender mejor su panorama de API actual y a tomar decisiones informadas sobre el desarrollo futuro. Además, facilita la supervisión y el control del acceso a las API, lo que garantiza que solo los usuarios autorizados tengan acceso a ellas.
Por qué la detección manual de API no es una opción
Una auditoría manual podría llevar hasta 40 horas por API para poder documentar con precisión todas las entradas necesarias. Además, se puede tardar mucho más tiempo en investigar la incidencia, evaluar el daño, tomar medidas correctivas e investigar la causa raíz.
Los equipos de seguridad con recursos sobrecargados pueden beneficiarse del uso de procedimientos automatizados para detectar todas las API en uso y proteger así su entorno de API. Es fundamental encontrar y realizar un inventario con todas las API de sus actividades digitales, lo que incluye API y dominios de API que no están controlados por una puerta de enlace de API.
Cómo le ayuda Akamai a eliminar la proliferación de su entorno de API
Antes de finalizar esta entrada del blog, haga una pausa y mire a su alrededor: ¿han proliferado sus gremlins de API mientras leía la publicación?
La proliferación de API puede ser bastante intensa. Aunque la pregunta más adecuada sería: ¿Quiere mejorar las capacidades de su organización para detectar API? Si la respuesta es afirmativa, nos gustaría ayudarle.
Akamai API Security se ha diseñado para ayudarle a mantener un inventario preciso de todas sus API, incluidas las API ocultas. Estas son algunas de las funciones que le ayudarán a reducir el riesgo y a aumentar la confianza en su inventario de API:
Nuestro módulo de detección permite a los equipos de seguridad obtener una visibilidad completa de miles de fuentes de datos en entornos locales y de nube mediante una experiencia de usuario optimizada.
Akamai API Security puede ampliarse a cientos o miles de elementos de infraestructura, para supervisar balanceadores de carga, puertas de enlace de API y firewalls de aplicaciones web (WAF) para ayudarle a localizar y catalogar cada tipo de API, como HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC y gRPC.
Nuestras capacidades de clasificación de datos supervisan el tráfico de API y ofrecen visibilidad sobre los tipos de datos que las atraviesan, lo que le permite ver rápidamente cuántas API tienen acceso a datos de tarjetas de crédito, teléfonos móviles, números de la seguridad social y otros datos confidenciales.