Seguridad

7 estrategias para mejorar la seguridad de las API

incident response cover copy
Cerradura de seguridad cibernética. Protección de datos informáticos de seguridad en Internet con candado, llave en chip de microesquema. Hackeo y violación de datos, concepto de fuga de información. (Bloqueo de seguridad de red. Protección segura de datos informáticos en Internet con candado, llave en microschem
Getty Images/iStockphoto

Desde abridores de puertas de garaje hasta tractores multimillonarios, las fuentes de API tienen brechas de seguridad en dispositivos en todas partes en hogares, oficinas, plantas de fabricación y lugares de trabajo. La apertura de estas fuentes de datos hace que el servicio sea conveniente y arriesgado. Las API permiten a los socios acceder fácilmente a datos e información, pero también abren puertas para los malos actores.

En Mayo, La API filtrada de Peloton expone los datos del usuario al públicoincluido cumpleaños, género, ubicación, incluso para cuentas configuradas como privadas.

Cientos de aplicaciones de terceros en dispositivos Android pueden acceder a datos confidenciales registrados por aplicaciones de rastreo de contactos creadas en las API de Google y Apple. Según un informe de investigadores de seguridad en abril.

También en abril, los investigadores de seguridad encontraron John Deere también tiene fallas de seguridad API Esto habría permitido a los piratas informáticos ver el nombre del propietario, la dirección y el VIN del vehículo. No hay evidencia de que los malos actores hayan accedido a la información.

El hacker residente de Cequence Security, Jason Kent, dijo que robar datos API requiere muy poco esfuerzo.

«Para el ataque de Peloton, la reacción de la gente fue: ‘Qué ataque tan aburrido, ¿quién hubiera pensado que sería tan fácil?'», dijo.

El problema, dijo Kent, es que las empresas permiten más implementaciones de terceros sin asegurar el acceso a los datos, lo que puede conducir a filtraciones de datos.

«Si piensas en la ciberseguridad en 2009, estábamos en la misma posición que las API en ese entonces», dijo.

Kent dijo que la compra de una puerta de garaje inteligente abrió su interés en la seguridad API. Descubrió un posible problema de seguridad con la aplicación que controla el sacacorchos y llevó sus hallazgos a la empresa.

LEER  Los ingresos de seguridad superarán los 100.000 millones de dólares en 2023, según un nuevo informe

«Cuando les informé, su reacción fue: ‘Parece que va a ser difícil de hacer’, pero desde el punto de vista de las personas que quieren entrar y quieren atacar, ese no es el caso», dijo. dijo.

Sandy Carielli, analista principal de Forrester, dijo que las empresas tienen la responsabilidad de proteger sus API.

«Si va a proporcionar API, debe protegerlas», dijo. «No puede confiar en los clientes, socios externos u otros para realizar llamadas API».

Mirar: El 91 % de los profesionales empresariales experimentó un incidente de seguridad de API en 2023 (República tecnológica)

El desafío, dijo, es que no existe una herramienta única para proteger las API. En cambio, las empresas deben abordar los riesgos de seguridad actuales y cambiar los procedimientos operativos.

Cómo mejorar la seguridad de la API

Kent y Carielli comparten esta recomendación para mejorar la seguridad de las API a corto y largo plazo.

Ver el tráfico a su API

Esto le dará una idea de quién está usando su feed, dice Kent, y es un buen punto de partida para comprender posibles problemas de seguridad.

«Si leo cuidadosamente el tráfico que está pasando, puedo decir cómo un atacante va a usar esa información», dijo.

Establecer estándares de seguridad para todas las API

Otro buen punto de partida es Estándar API OWASPLa lista de las 10 mejores prácticas para asegurar las API cubre muchas áreas.

«Esto cambiará la forma de escribir código seguro», dijo.

Kent dijo que la industria también necesita desarrollar estándares generales de seguridad, similares a Estándar de seguridad de datos de la industria de tarjetas de pagoLas empresas que violen esta norma pueden perder la capacidad de procesar tarjetas de crédito.

«El cumplimiento no equivale a seguridad, pero sí equivale a dinero y acceso a la junta», dijo.

Ver permisos de autorización y autenticación

El primer elemento de la lista OWASP es «Autenticación de nivel de objeto roto».

Kent dijo que encontró el problema en cada API que revisó y que hubo algunas pruebas simples que identificaron el problema. Recomienda comenzar con los permisos, como determinar si un usuario puede editar su propio perfil y los de otros usuarios.

«Cualquiera puede tocarlo, cualquiera puede verlo; debemos tener esa mentalidad cuando pensamos en cómo protegerlo», dijo Kent.

Otro desafío, dijo Carielli, es que los controles de seguridad deben implementarse durante todo el ciclo de vida de la API, desde el desarrollo hasta la implementación, etc.

«Hay que prestar atención todo el camino», dijo.

Involucrar al equipo de compras en la conversación

Otro cambio operativo es hacer que los problemas de seguridad formen parte del proceso de compra. Los equipos de adquisiciones deberían comenzar a agregar preocupaciones de seguridad al lenguaje del contrato, como agregar etiquetas de precios para las infracciones de seguridad, dijo Kent.

«Si sale y compra algo, el departamento de compras abordará los problemas de seguridad en el lenguaje del contrato», dijo. «Debe adoptar un enfoque multifacético para asegurarse de que la seguridad esté integrada en todo».

Hacer un manifiesto de API

Carielli dice que siempre se sorprende por la cantidad de API que usa la empresa, y Kent dice que trabaja con un cliente con 25 000 terminales.

La gobernanza es una parte importante de la protección de las API, y las empresas deben realizar un seguimiento de lo que se implementa, dijo Carielli.

«Siempre ha habido un problema de detección insuficiente y muchos problemas de seguridad se deben a la autenticación anterior», dijo.

Invierta en herramientas API

Carielli dijo que en realidad es algo optimista sobre el estado de la seguridad de las API porque los equipos de seguridad están prestando atención e invirtiendo en herramientas de API.

«Hay más herramientas del lado de la implementación que están analizando las llamadas API para ver cómo responden las llamadas API y las puertas de enlace API que manejan la autorización y la autenticación», dijo.

Tener un estándar de seguridad API facilita la detección de riesgos potenciales, dijo Kent.

«Si lanza uno, podemos tomarlo y usarlo y ver si está a la altura de las especificaciones», dijo.

Priorizar la capacitación en seguridad para desarrolladores

La mayoría de los desarrolladores no tienen mucha capacitación sobre cómo escribir código seguro, dijo Carielli.

«Es responsabilidad de la organización capacitar y controlar desde el principio del proceso de desarrollo para que pueda encontrar y corregir errores», dijo Carielli.

La solución a largo plazo, dijo Kent, es garantizar que los desarrolladores de todos los niveles comprendan cómo escribir código seguro, no solo los ingenieros de software experimentados que trabajan en DevSecOps.

«Este es nuestro desafío para el futuro, pero encontrar fallas en el camino es donde estamos ahora», dijo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba