Cosas que se deben hacer y evitar con respecto a la seguridad moderna de las API
Muchos ejecutivos de seguridad se encuentran atravesando un gran cambio en lo que respecta a la seguridad de las API. Aunque las API no son nuevas, han adquirido una importancia estratégica mucho mayor en los últimos años debido a los siguientes factores:
Los usuarios interactúan con las aplicaciones a través de un conjunto cada vez más diverso de interfaces de usuario y dispositivos, a menudo habilitados por un conjunto compartido de API.
Las prácticas de DevOps y otros procesos empresariales en constante cambio dependen de las API para impulsar la automatización.
Las integraciones de API entre los partners empresariales son la única forma de satisfacer las expectativas de los clientes en cuanto a experiencias online rápidas y fluidas.
Las mejoras del sector, como el Internet de las cosas (IoT), aumentan exponencialmente el número de dispositivos conectados que las empresas deben gestionar mediante programación a través de las API.
API: un factor estratégico y un punto clave de vulnerabilidad
Estas mejoras del sector se han producido a lo largo de muchos años a plena vista. Sin embargo, muchos líderes en seguridad están empezando a centrarse en el hecho de que las API son tanto un factor estratégico como un punto clave de vulnerabilidad en casi todas las funciones empresariales esenciales.
Reconocer la necesidad de un enfoque estratégico de la seguridad de las API es un primer paso importante, pero conseguirlo puede parecer un proceso complejo. Por ejemplo, las API son un objetivo móvil que aparecen y desaparecen todo el tiempo, y los procesos de gestión de API suelen ser incoherentes, si es que realmente existen.
Amenazas de API frente a amenazas de seguridad tradicionales
Las amenazas de API también son muy diferentes de las amenazas de seguridad tradicionales. Las vulnerabilidades técnicas y los errores de configuración, como los incluidos en los 10 principales riesgos de seguridad de API según OWASP, guardan cierta similitud con los vectores de ataque que suelen combatir los equipos de seguridad. Pero las API también están sujetas a otros tipos de uso indebido y abusode la lógica empresarial, como el scraping agresivo de datos, que no encaja con lo que se entiende por un ataque de seguridad tradicional.
Aunque abordar la seguridad de las API de manera estratégica no es necesariamente fácil, es posible.
Hemos creado una breve guía llamada 8 cosas que se deben hacer y evitar con respecto a la seguridad de las API que resume algunos de los conocimientos y alguna de las prácticas recomendadas de nuestra investigación, así como los compromisos con algunas de las organizaciones basadas en API más sofisticadas del mundo. Incluye estrategias esenciales que deben implementarse , además de obstáculos que hay que evitar , a medida que se desarrolla una estrategia de seguridad de API más sofisticada para su organización.
