Comprender la superficie de ataque de tu API: cómo empezar
Los atacantes están apuntando las APIs con gran éxito. A continuación se explica cómo empezar a evaluar la superficie de ataque de tu API y minimizar el riesgo.
Vivimos en un mundo de computación en la nube, dispositivos móviles y microservicios. Casi todas las aplicaciones con las que interactuamos se alimentan de APIs (Interfaz de Programación de Aplicaciones), a menudo muchas, especialmente cuando se trata de los principales proveedores de servicios en la nube (CSP), aplicaciones móviles y entornos de microservicios. Esto hace que las APIs sean una parte crítica de la superficie de ataque de una organización.
Akamai estima que aproximadamente el 83% del tráfico de Internet se basa en las APIs. Otros estudios como los de Salt Security afirman que los ataques a las APIs aumentaron más del 600% de 2021 a 2022, y Gartner predice que el 90% de las aplicaciones habilitadas para la web tendrán superficies de ataque más amplias debido a las APIs expuestas. El último estudio de Imperva afirma que las APIs vulnerables están costando a las organizaciones entre 40 y 70 mil millones de dólares anuales.
Otra parte fundamental de la ampliación de la superficie de ataque de las APIs es la adopción de Kubernetes y los microservicios. Un estudio encontró recientemente más de 380.000 servidores de API de Kubernetes expuestos, lo cual es preocupante dado que el servidor de API de Kubernetes es un componente del plano de control central para los despliegues de contenedores. Dicho esto, se presta muy poca atención a la seguridad de las APIs, a pesar de que éstas actúan como el pegamento que impulsa el ecosistema digital moderno.
Las APIs se utilizan para acceder y consultar datos, así como para realizar actividades como el enriquecimiento y las modificaciones de datos como parte de los procesos. Esto significa que las propias APIs deben estar protegidas, así como los datos que fluyen a través de ellas.
Esta realidad pone de relieve la necesidad de aplicar las mejores prácticas de seguridad tanto de las aplicaciones como de los datos cuando se trabaja con las API. Al igual que en muchas otras áreas de la tecnología, la mayoría de las organizaciones tienen dificultades con la simple tarea de hacer un inventario de sus API. Esto significa que la mayoría carece de visibilidad de las API que tienen, con las que interactúan y que son relevantes para su superficie de ataque.
Organizaciones como Resurface Labs y Traceable AI han comenzado a abordar este problema, pero hay que trabajar mucho más. Aquí es donde las organizaciones deberían empezar a entender su superficie de ataque de API y sus potenciales vulnerabilidades.
Cómo empezar a evaluar la superficie de ataque de la API
La seguridad de las APIs puede ser una tarea desalentadora para las organizaciones que acaban de empezar, especialmente para las grandes empresas con inventarios de APIs muy extensos. Dicho esto, se pueden adoptar prácticas y metodologías sólidas para controlar este vector de ataque en gran medida no abordado. El enfoque requiere una combinación de gobernanza, seguridad de la infraestructura y mejores prácticas a nivel de aplicación para reducir el riesgo de la organización.
Un buen punto de partida, además de hacer un inventario de las APIs existentes en la organización, es identificar y comprender los problemas de seguridad más comunes de las APIs. Por suerte, la siempre valiosa comunidad OWASP ha elaborado una lista de los 10 principales problemas de seguridad de las API. En ella se incluyen elementos como la autorización/autenticación de objetos y usuarios rota, la exposición excesiva de datos y la falta de limitación de velocidad.
La autorización a nivel de objeto roto es una construcción a nivel de código que asegura que los usuarios tengan acceso sólo a los objetos a los que están autorizados a acceder. Esto nos remite al concepto siempre presente de control de acceso con menos privilegios, que también prevalece en el impulso de la Zero Trust.
La autenticación de usuarios rota se manifiesta de varias formas, incluidos los mecanismos de autenticación débiles, la presencia de información de autenticación sensible en las URL y el relleno de credenciales, en el que los actores maliciosos utilizan la información de autenticación obtenida para intentar explotar repetidamente las interfaces de autenticación. Para hacer frente a estas vulnerabilidades hay que comprender los flujos y mecanismos de autenticación y utilizar normas de autenticación basadas en la industria.
La exposición excesiva de datos es un problema demasiado común. Cuando se trata de APIs, esta vulnerabilidad generalmente ocurre cuando una API devuelve datos sensibles en respuesta a las actividades del usuario que no debería haber expuesto. Las organizaciones pueden hacer frente a estas vulnerabilidades validando los datos que contienen las respuestas de la API y asegurándose de que los datos confidenciales no están contenidos inadvertidamente. Las organizaciones también deben implementar mecanismos de validación de respuestas para garantizar que no se expongan los datos sensibles.
La falta de controles de limitación de velocidad está más ligada a un impacto en la disponibilidad de los sistemas que a un compromiso de la confidencialidad o la integridad, como se ha mencionado con algunas de las otras vulnerabilidades más comunes. Dado que las APIs a menudo funcionan como el pegamento que une los microservicios modernos, las nubes y las aplicaciones móviles, todo ello utilizado para, en última instancia, ofrecer valor a los clientes e impulsar los ingresos, el impacto de la disponibilidad es una preocupación importante. La interrupción del negocio puede significar la pérdida de ingresos o de la confianza de los clientes. Si está en el sector público o en la seguridad nacional, podría tener un impacto en los servicios cívicos críticos y en la seguridad nacional.
Estos problemas pueden parecer obvios para el profesional de la seguridad experimentado, dado que los ataques de autenticación, autorización y denegación de servicio (DoS) son habituales. Dicho esto, cuando se tienen en cuenta algunas de las métricas proporcionadas anteriormente con respecto a la prevalencia de las APIs en las organizaciones y en Internet, junto con el rápido aumento de la tasa de ataques contra las APIs por parte de actores maliciosos, el riesgo potencial se agrava.
Las API permiten el movimiento lateral
Dado que las APIs a menudo sirven como puerta de entrada a las aplicaciones y entornos digitales, los ataques contra las API se utilizan a menudo para moverse lateralmente a través de los sistemas. Las APIs pueden servir de vector de ataque inicial y luego ser utilizadas para acceder a los sistemas, cargas de trabajo y datos subyacentes. Esto hace que asegurarlas sea exponencialmente importante. Los principales vectores de ataque para las APIs incluyen la autenticación y autorización a nivel de objeto y de usuario. Por lo tanto, los actores maliciosos no van detrás de las APIs en sí, sino de los datos a los que tienen acceso y transportan, así como de los sistemas subyacentes a los que a menudo se enfrentan.
Más atención a la seguridad de las API
Aunque muchos de los vectores de ataque pueden no parecer exclusivos de las APIs, se vuelven muy preocupantes cuando se combinan con la presencia omnipresente de las APIs en el ecosistema digital moderno. Por suerte, están surgiendo varias tendencias, como el aumento de la inversión en empresas y productos de seguridad de las APIs, más orientación sobre su seguridad y una mayor concienciación del sector sobre lo problemáticas que pueden ser las APIs inseguras.
Si las APIs se han convertido en los lazos que unen el ecosistema digital moderno, es imperativo que, como industria, nos aseguremos de que esos lazos son sólidos y de que no tenemos un ecosistema atado con chicles y cordones de zapatos. Aunque el modelo heredado de seguridad basada en el perímetro puede haberse quedado en el camino, las APIs siguen siendo un punto de entrada y pivote crítico para los sistemas modernos. Esto incluye no sólo los sistemas orientados al exterior, sino también los que se comunican internamente.
También estamos viendo los esfuerzos para asegurar la cadena de suministro de software. Esta cadena está unida a través de las API como principal método de comunicación entre los sistemas basados en software. Esto indica que la seguridad de las API es un componente central del ecosistema más amplio de la cadena de suministro de software que también garantiza la seguridad y el rigor.
