Lecciones aprendidas (hasta ahora) de la filtración de datos de T-Mobile

La reciente divulgación de una violación de datos por parte de T-Mobile resalta los desafíos del creciente “salvaje oeste” de la seguridad de las aplicação : las API. Un individuo (o grupo) pudo recopilar datos personales de más de 30 millones de clientes mediante el uso (o abuso) de una API, extrayendo información diariamente durante más de un mes antes de ser detectado.

Al momento de escribir esto, no se conocen muchos detalles sobre exactamente cómo o por qué se abusó de la API en este caso (por ejemplo, abuso de función, autorización a nivel de objeto rota, exposición excesiva de datos) o cómo se realizó finalmente la violación. Solo examinando los números, en promedio, se eliminaron datos de 902.000 clientes por día a través de esta API sin activar ningún umbral de limitación de velocidad, anomalías de comportamiento de series de tiempo, etc. O tal vez lo fueron, pero no con el nivel de amenaza apropiado para ser identificados rápidamente y para que los equipos de operaciones pudieran tomar medidas de mitigación; tiene el sello de un ataque lento y de baja intensidad.

Infracciones como esta nos dan la oportunidad de pensar en lo omnipresentes que son las API, lo críticas que son para las organizaciones hoy en día y el papel único que pueden desempeñar en la seguridad (o inseguridad) de cualquier aplicação y, por lo tanto, de toda una organización. En un análisis de las infracciones de los últimos años, F5 Labs ha observado que en la mayoría de los escenarios en los que los incidentes están relacionados con las API, el método de la infracción es técnicamente muy simple e impacta en puntos finales de API públicos y con poca seguridad.

La seguridad, cuando se trata de API, es más fácil decirlo que hacerlo (al menos si se hace bien). Con la ola de datos de eventos de seguridad de aplicação que se generan para la creciente cantidad de aplicações y puntos finales que monitorean la mayoría de las organizaciones en estos días, parece una tarea imposible estar al tanto de todo.

Sin embargo, hay tres elementos centrales que este ataque destaca en torno a la seguridad de API específicamente, de los cuales todas las organizaciones pueden aprender al priorizar la tecnología y los servicios que brindan:

Visibilidad y descubrimiento de API. En este caso, no está claro si esta API específica era conocida o estaba siendo monitoreada activamente. La seguridad positiva, basada en API bien documentadas y desarrolladas de forma segura con funcionalidad de cumplimiento de esquemas, es fundamental, pero es solo la mitad de la ecuación. Lo más probable es que la mayoría de las organizaciones no tengan control sobre todas las API que se ejecutan en su entorno, por lo que poder aprender y mapear constantemente las API que aún no están documentadas en todas las rutas de comunicación de una aplicação es de suma importancia. La tecnología de descubrimiento permite a las organizaciones mapear todo su panorama de API, exponiendo API desconocidas o en sombra, API abandonadas o zombis para bloquearlas o eliminarlas, y cualquier API "buena" desconocida que deba considerarse para la gobernanza, lo que proporciona una supervisión más integral.

Saber que existe una API y tener capacidades de control de acceso son dos piezas fundamentales del rompecabezas de la seguridad de la API. En nuestro Informe sobre el estado de la estrategia de aplicação de 2022 , el 68 % de los encuestados clasificaron la autenticación y la autorización como los componentes más valiosos de la seguridad de las API, seguidos de cerca por el análisis del comportamiento y la detección de anomalías para monitorear las API, identificar y alertar sobre comportamientos anormales y posibles abusos, ya que hay muchas formas en que los actores maliciosos pueden eludir fácilmente la autenticación y la autorización. En este escenario, algo acerca de los datos que se transmitían entre la API y el cliente debe haber sido inusual. Poder rastrear el comportamiento de la API a lo largo del tiempo una vez que está en producción generalmente incluiría el análisis de solicitudes de API y la detección de anomalías de series de tiempo para crear atributos de comportamiento de referencia que se usarían para identificar anomalías en las tasas de solicitudes, errores, latencia, rendimiento, etc. Con esta funcionalidad, un elemento de alerta es fundamental para generar problemas cuando ocurren picos o caídas inesperados, existen patrones de tráfico únicos o se detectan solicitudes de API anormales.

Para completar una pila de seguridad de API moderna se necesita un motor de cumplimiento de seguridad de API y aplicação en línea , que probablemente incluya un WAF con múltiples capas de funcionalidad de seguridad de aplicação , como aplicación de políticas L7 granulares con limitación de velocidad, reputación de IP, funcionalidad de lista de permitidos/denegados y DoS L7 con capacidades para investigar más a fondo y actuar sobre puntos finales maliciosos, usuarios y otras actividades. Esto permite a los equipos de operaciones identificar de manera rápida y sencilla el abuso sospechoso de API a medida que se detectan anomalías y crear políticas para detener ese mal uso, protegiendo mejor las API y los puntos finales de las aplicaciones a lo largo del tiempo a medida que evolucionan y el comportamiento cambia.

Seguramente saldrá más información a medida que pase el tiempo y aprendamos qué sucedió exactamente durante esta violación específica, pero es fundamental que las organizaciones aprovechen estos tres elementos para evaluar y desarrollar mejor un plan para proteger sus aplicaciones y puntos finales de API de abusos como este.