Aplicación vs. ¿Seguridad API? A los bots no les importa. Proteja sus activos digitales
Es hora de un examen sorpresa. ¿Cuál de estos puntos finales pertenece a una API y cuál pertenece a una aplicación?
https://www.example.com/product
https://www.example.com/product
Si estás confundido y no puedes decidir, no te preocupes. Ése es el punto. Los puntos finales de la aplicación y la API tienen un aspecto prácticamente idéntico. Esto se debe a que, en términos técnicos, si son RESTful (y la mayoría lo son), se invocan de la misma manera, a través de HTTPS y generalmente con un método GET. Lo que suele ser diferente es la carga útil enviada con la solicitud. Para las API que normalmente contienen algunos datos en formato JSON o XML, mientras que las solicitudes de aplicaciones web pueden contener, bueno, nada.
Aun así, uno de los hallazgos clave de nuestra investigación anual implica que las organizaciones tratan las API de forma diferente a las aplicações cuando se trata de seguridad. Deducimos esto a partir del hallazgo de que el 41% de las organizaciones tienen al menos la misma o mayor cantidad de API que de aplicações y, sin embargo, otorgan un valor menor a los mismos servicios de seguridad que las protegen.
Quizás te preguntes cómo las organizaciones podrían terminar con más API que aplicaciones. ¡Gracias por preguntar! Si bien las API utilizadas para la comunicación interna, de servicio a servicio (como los microservicios), están ciertamente estrechamente vinculadas al servicio que respaldan, esto no es necesariamente cierto cuando las API se utilizan para presentar interfaces externas.
¿De dónde provienen las API?
Tenga en cuenta que en nuestra investigación de 2021, el 61 % de los encuestados nos dijeron que estaban “agregando una capa de API para habilitar interfaces de usuario modernas” como método de modernización. En 2022 esa cifra fue del 45%. Lo que esto significa es que las API que habilitan las interfaces de usuario modernas no son necesariamente artefactos directamente conectados a las aplicações. Pueden ser fachadas que faciliten interfaces de usuario y aplicações modernas, como aplicaciones móviles y servicios digitales , o pueden ser fachadas diseñadas para permitir las comunicaciones entre socios y la cadena de suministro. Estos casos de uso están respaldados por API Gateways y enrutamiento de capa 7 en balanceadores de carga, que a menudo brindan cierto nivel de capacidades de transformación que les permiten traducir desde el punto final de la API al punto final de la aplicación, lo que habilita una fachada de API como aquellas que hacen que los edificios del viejo oeste americano parezcan mucho más impresionantes de lo que son.
Y, por supuesto, un buen número de API son entidades públicas adjuntas a aplicaciones y a las que se accede a través de la web (normalmente HTTPS).
Independientemente de cómo llegaron allí, las API públicas están sujetas a muchos de los mismos ataques que las aplicações. Esto es especialmente cierto cuando hay bots involucrados, ya que las API con buena documentación simplemente hacen que sea fácil para los atacantes crear scripts de ataques a escala.
Por ejemplo, poco más del 13% de las transacciones protegidas por F5 Distributed Cloud Bot Defense en 2023 fueron automatizadas. Es decir, se utilizó un script o software en lugar de una persona que usara un navegador web o una aplicación móvil. Estas transacciones se realizan mediante API y aplicaciones. Un porcentaje de esas transacciones automatizadas eran con toda seguridad “bots maliciosos” a los que la presencia de nuestro servicio de seguridad impedía hacer lo que estuvieran intentando hacer. (Puedes profundizar en lo que estaban intentando hacer en este informe de F5 Labs )
Entonces, cuando analizamos cómo los encuestados perciben la gestión de bots en función de la cantidad de API que declararon, nos sorprendió un poco descubrir que la gestión de bots ocupa un lugar bastante bajo en la escala de importancia.
En estos elegantes gráficos de barras se puede ver que, si bien la importancia asignada a las API Gateways parece ser apropiada para la cantidad de API bajo administración, lo mismo no es cierto para la administración de bots. ¡De hecho, es todo lo contrario! A medida que crece el número de API, la importancia de la gestión de bots parece disminuir. Rápidamente.
Ciertamente podría darse el caso de que la mayor parte de esas API sean internas. Es decir, son APIs de este a oeste entre microservicios que no están expuestas a actores externos que podrían ser bots maliciosos con intenciones maliciosas.
Aunque, de nuevo, puede que lo sean. Dada la cantidad de artículos que he leído el año pasado sobre atacantes que obtienen acceso a través de API, supongo que hay muchos más externos de lo que creemos.
Entonces, es hora de recordarle a la gente que, si bien hay una cantidad de bots molestos (bots Grinch, bots de zapatillas, etc.) que alteran los negocios al devorar bienes de alta demanda, también hay una cantidad significativa de bots cuyo único propósito es detectar vulnerabilidades y atacarlas. Tanto en API como en aplicações.
Por lo tanto, sería una buena idea que las organizaciones emplearan una gama completa de opciones de seguridad para proteger sus API y, en última instancia, su negocio. La gestión de bots es ciertamente una de esas opciones de seguridad y debería considerarse un componente crítico de cualquier estrategia de seguridad.
Al final, a los bots no les importa si ese punto final pertenece a una aplicación o a una API. Van a atacar a ambos.
Esto significa que las organizaciones necesitan proteger tanto las aplicaciones como las API detectando bots y evitando que hagan lo que intentan hacer.
¿Quieres ver la defensa de bots en acción? Mira esta demostración .