'Shadow' API abre la superficie de ataque de las organizaciones
Las empresas no logran defenderse completamente o dependen de una protección incompleta de las API sin visibilidad en tiempo real.
La falta de visibilidad de las interfaces de programación de aplicaciones (API) que utilizan las organizaciones ha hecho que estas se vuelvan más complejas de administrar y proteger contra los abusos, según un estudio de Cloudflare. El informe, basado en los patrones de tráfico observados por su red entre octubre de 2022 y agosto de 2023, pone de relieve que las organizaciones no logran defenderse completamente o dependen de una protección incompleta de las API sin visibilidad en tiempo real.
“Es difícil proteger las API contra el abuso. Requieren un contexto empresarial, métodos de descubrimiento y controles de verificación de acceso más profundos en comparación con otros servicios de seguridad de aplicaciones web”, asevera el informe. “Aquellos que implementan seguridad de API sin una imagen precisa y en tiempo real de su panorama de API pueden bloquear involuntariamente el tráfico legítimo”.
El estudio de la red se basa en datos incluidos de su firewall de aplicaciones web (WAF), protección DDoS, administración de bots y servicios de puerta de enlace API.
Shadow API abre la superficie de ataque
El análisis concluye que las API superan a otro tráfico de Internet, atribuyendo el 57% del tráfico procesado por Cloudflare (HTTP dinámico) a solicitudes de API exitosas. “Los desarrolladores de aplicaciones utilizan cada vez más arquitecturas modernas basadas en microservicios y requieren API para acceder a servicios, datos u otras aplicaciones para proporcionar una funcionalidad más rica a los usuarios de sus aplicaciones”, expresa Melinda Marks, analista senior de ESG. “Pero esto significa más áreas de superficie de ataque, por lo que si las API no son seguras, se crea un punto que puede ser interceptado para llegar a esos servicios, datos u otras aplicaciones”.
La compañía también ha observado que muchas organizaciones carecen de un inventario completo de sus API, lo que dificulta su gestión. Descubrió casi un 31% más de endpoints de API de transferencia de estado representacional (REST), la ubicación de API responsable de aceptar solicitudes y enviar respuestas, que los vistos por los identificadores de sesión proporcionados por el cliente.
Según Cloudflare, las aplicaciones que no han sido administradas o protegidas por la organización que las utiliza, también conocidas como Shadow API, a menudo son introducidas por desarrolladores o usuarios individuales para ejecutar funciones comerciales específicas.
“Un estudio propio mostró altos porcentajes (67%) de API abiertas para consumo público, (64%) que conectan aplicaciones con socios y (51%) que conectan microservicios, y altas tasas de actualizaciones de API, incluido un 35% con actualizaciones diarias. y el 40% con actualizaciones semanales”, dijo Marks. "Por lo tanto, es una cuestión de un número cada vez mayor de API y de la posibilidad de que los piratas informáticos quieran aprovechar las vulnerabilidades que a menudo son el resultado de un descuido".
DDoS es la principal amenaza API
El cincuenta y dos por ciento de todos los errores de API procesados ??por Cloudflare se atribuyeron al código de error 429, que es un código de solicitud de estado HTTP para "demasiadas solicitudes". Esto se ve respaldado por el hecho de que el 33% de las mitigaciones de API incluyeron el bloqueo de la denegación de servicio distribuido (DDoS).
"Esta es un área importante: a veces subestimamos u olvidamos los ataques DoS y DDoS", dice Marks. "El principal factor de seguridad de las aplicaciones suele ser el tiempo de actividad de las aplicaciones, por lo que la capacidad de bloquear ataques DoS/DDoS suele ser una prioridad para la seguridad de las API".
Otros errores principales de API incluyen solicitudes incorrectas (código de error 400) con un 13,8%, no encontradas (código de error 404) con un 10,8% y no autorizadas (código de error 401) con un 10,3%.
"Hoy en día, tenemos aplicaciones más complejas y ricas en funciones con un número cada vez mayor de API que ayudan a ofrecer funcionalidades complejas, pero esto aumenta el riesgo de seguridad porque cada API es una superficie de ataque", dijo Marks. "Nuestros estudios recientes mostraron que el 92% de las organizaciones enfrentaron al menos un incidente de seguridad de API durante los 12 meses anteriores, y los impactos incluyeron exposición de datos, apropiación de cuentas, ataque de denegación de servicio, etc., y tuvieron impactos graves".
Según Cloudflare, las organizaciones pueden proteger los abusos de API implementando prácticas que pueden incluir unificar la administración, el rendimiento y la seguridad de API con la conectividad en la nube, implementando un modelo de "seguridad positiva" con la puerta de enlace API que solo permite el tráfico "bueno conocido" en lugar de rechazarlo.
