BLOG

Prevención de ataques a la API: Preparándose para el nuevo objetivo de robo de cuentas de los ciberdelincuentes

Miniatura de Angel Grant
Ángel Grant
Publicado el 25 de julio de 2023

En un panorama de amenazas en constante cambio, los ciberdelincuentes están recurriendo a las API como su nueva arma favorita para llevar a cabo fraudes de apropiación de cuentas (ATO) porque brindan acceso directo a recursos y funcionalidades valiosos. Las amenazas a las API se han convertido en un problema tal que OWASP acaba de publicar su nueva lista de los 10 principales riesgos de seguridad de API de 2023 para ayudar a llamar la atención sobre las áreas que las organizaciones deben abordar.

Los delincuentes han adaptado sus tácticas ATO para apuntar a las API utilizando bots maliciosos para llevar a cabo ataques que van desde el credential stuffing y el abuso de la lógica empresarial hasta ataques DDoS , todos los cuales a menudo resultan en tiempo de inactividad de las aplicação , robo de identidad y fraude. Estos ataques son más fáciles que nunca de orquestar con herramientas fácilmente disponibles y son difíciles de detectar con las técnicas de defensa contra bots tradicionales.

Según estimaciones de la Oficina del CTO de F5 , el número de API en producción aumentará exponencialmente en los próximos años. Para 2030, podría haber entre 500 millones y más de 1.500 millones de API en producción. Desafortunadamente, esta es una gran noticia para los ciberdelincuentes que buscan continuamente ampliar sus objetivos.

La proliferación de API genera numerosos puntos ciegos que pueden generar vulnerabilidades.

  • La estructura abierta y predecible crea muchas puertas abiertas para explorar fácilmente.
    Los desarrolladores tienden a crear API flexibles con estructuras predecibles que se adhieren a arquitecturas lógicas (como REST), lo que hace que sea fácil para los delincuentes buscar datos adicionales que puedan haber sido expuestos.

  • La visibilidad interorganizacional reducida dificulta la observación de la actividad de la API, especialmente si ni siquiera se sabe que la API existe.
    Las API a menudo se publican antes de que los equipos de SecOps sepan de ellas, lo que crea un ecosistema de API fantasma o zombi y una falta de visibilidad de extremo a extremo del tráfico de API.

  • Una mayor complejidad crea API no administradas ni seguras, lo que resulta en una mayor superficie de ataque.
    Los entornos distribuidos y la proliferación de servicios dificultan el descubrimiento, la gestión y el monitoreo constante de todas las API, lo que genera un mayor número de amenazas y una mayor vulnerabilidad a incidentes de seguridad y privacidad.

Es posible que los controles de seguridad existentes no protejan las API contra ataques ATO.

Los ataques de bots maliciosos modernos continúan evolucionando, lo que provoca que las herramientas de prevención de bots tradicionales no logren mantener su eficacia. Es probable que este problema empeore con respecto a las API, ya que los ataques de bots se utilizan para atacar a las API en una variedad de formas nuevas y diferentes, que van desde automatizar los escaneos de exploración hasta manipular recursos y vulnerabilidades de la lógica de negocios y realizar ataques de inyección y credential stuffing .

Los ataques de credential stuffing de API son un gran ejemplo de por qué las estrategias tradicionales de mitigación de bots lo dejan expuesto. Algunas API proporcionan tokens de autenticación después de enviar un nombre de usuario y una contraseña, de forma similar a iniciar sesión en un sitio web. Este token se usa normalmente para todas las demás solicitudes realizadas a la API. Es un patrón común en las API, especialmente en las más antiguas, y es vulnerable a ataques de credential stuffing y rociado de contraseñas.

Diferenciar entre atacantes y clientes reales es difícil porque este tipo de esfuerzos dirigidos eluden la mayoría de los controles tradicionales. Los controles de seguridad tradicionales, como los firewalls de aplicaciones web básicos (WAF) y los sistemas de gestión de eventos e información de seguridad (SIEM), no son suficientes para identificar y prevenir ataques de bots a las API, en parte debido a la gran cantidad de tráfico de máquina a máquina o de API a API. Los ataques pueden parecer un comportamiento normal de una aplicación a primera vista, pero detrás de escena las API pueden ser explotadas y abusadas, lo que permite a los atacantes eludir la detección hasta que sea demasiado tarde.

Una estrategia de seguridad de API exitosa para protegerse contra ataques ATO requiere vigilancia en múltiples frentes

La seguridad de las API es una responsabilidad compartida en toda la organización, lo que aumenta la necesidad de preocuparse por los ataques impulsados por bots que conducen a la vulneración y violación de datos, así como aquellos que afectan el tiempo de actividad y la confiabilidad, tanto para las aplicaciones web heredadas como para las estructuras de API modernas.

Cuando se trata de seguridad de API y protección contra acceso no autorizado a través de API , ya sea mediante credential stuffing, fuerza bruta u otros mecanismos de intentos de inicio de sesión forzados, un motor de IA/ML sofisticado puede ayudar identificando actividades de intentos de inicio de sesión fallidos o intentos de descubrir parámetros de API y marcando esos intentos para que los equipos de operaciones los revisen.

Hay varias formas en las que las organizaciones pueden reforzar la seguridad de sus API, entre ellas, validar las conexiones y el acceso, monitorear y alertar sobre el comportamiento a lo largo del tiempo y ayudar a identificar un comportamiento inusual del cliente para señalar posibles áreas de compromiso.

  • Supervise y proteja continuamente los puntos finales de API para identificar integraciones de aplicaciones cambiantes, detectar componentes vulnerables y mitigar ataques a través de integraciones de terceros.
  • Implemente un modelo de seguridad positivo que se integre con su canalización CI/CD y admita las especificaciones de interfaz OpenAPI y Swagger para validar fácilmente el esquema, aplicar el cumplimiento del protocolo, establecer automáticamente una línea de base de patrones de tráfico normales y detectar comportamiento anómalo.
  • Adopte la confianza cero y la seguridad basada en riesgos adoptando principios de acceso con privilegios mínimos, inspeccionando cargas útiles, previniendo la exposición no autorizada de datos e implementando control de acceso y autenticación basada en riesgos para objetos y funciones. Esto debería incluir la recopilación de inteligencia y la creación de una base para el comportamiento normal de los bots con respecto a sus API. Al aprovechar el análisis de patrones y comportamiento, la validación del flujo de trabajo y la toma de huellas dactilares, puede diferenciar entre la actividad de humanos, bots buenos y bots malos.
  • Reaccione a un ciclo de vida de las aplicaciones cambiante previniendo errores de configuración de seguridad en entornos heterogéneos, mitigando el abuso que puede llevar a compromisos y denegaciones de servicio, y remediando amenazas de manera consistente en todas las nubes y arquitecturas. Continúe escaneando, probando y monitoreando sus API para detectar configuraciones incorrectas, vulnerabilidades y fallas en la lógica empresarial.

Debe explorar la posibilidad de tener una vista centralizada de su postura de seguridad de API para permitir que su organización avance rápidamente, identifique problemas potenciales dentro de su entorno de API, profundice, investigue y actúe según corresponda para neutralizar cualquier anomalía o amenaza que pueda afectar la conectividad, la disponibilidad o la seguridad de las aplicaciones y las API.

Obtenga más información sobre cómo puede prevenir ataques de apropiación de cuentas en este seminario web a pedido .