BLOG

Receta para el desastre: API primero con las estrategias de seguridad después

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 22 de abril de 2019

Existe una creciente demanda de API. Ya sea ayudando a impulsar la economía digital al habilitar aplicaciones móviles o impulsando internamente la productividad a través de iniciativas de automatización y orquestación, las API están en todas partes.

Muchas organizaciones han adoptado el grito de guerra digital de "¡API primero!" Es decir, una mayoría (60%) de los encuestados en el informe State of API Integration 2018 de Cloud Elements pone una API a disposición de cualquier desarrollador. Está dando sus frutos. Un asombroso 85% de las organizaciones están generando al menos algunos ingresos a partir de las API y las implementaciones relacionadas con las API. La mayor parte (59%) genera entre el 11 y el 50% de los ingresos de su organización. Más de uno de cada diez (11%) genera más de la mitad de sus ingresos solo a partir de API. ( El creciente valor de las API de MuleSoft )

Pero déjame recordarte que hacen que sus API estén abiertas a CUALQUIER desarrollador. No cualquier desarrollador bien intencionado, sino cualquier desarrollador.

La naturaleza abierta de la economía API actual es una de las razones por las que resulta desafortunado que una estrategia que prioriza las API muy a menudo esté acompañada por una estrategia que prioriza la seguridad.

Es posible encontrar con relativa facilidad una verdadera cornucopia de incidentes de seguridad relacionados con API que involucran a organizaciones de alto perfil. Ya sea que lo haya mencionado Forbes o lo haya descubierto nuestro propio F5 Labs , estas organizaciones han sufrido violaciones de seguridad relacionadas con las API que podrían haberse evitado con prácticas y herramientas de seguridad bien entendidas .

Nuestro propio Ray Pompon, Evangelista principal de investigación de amenazas de F5 Labs, señaló en su investigación sobre seguridad de API:

"...se pueden ver patrones asociados con los mismos problemas clásicos en seguridad de aplicação que siempre hemos tenido: atacantes que obtienen acceso mediante ataques de fuerza bruta o credenciales robadas. Además, una vez autenticados en la API, los atacantes explotaron los permisos asignados demasiado amplios".

Desde < https://www.f5.com/labs/articles/threat-intelligence/reviewing-recent-api-security-incidents >

Los mismos problemas clásicos. Porque al final del día, las API suelen implementarse como URI transportadas mediante HTTP que llevan una carga de datos JSON o XML. Lo cual no es tan diferente de una URI transportada mediante HTTP que lleva una carga de datos de formulario publicados.

Y no olvidemos que una API es simplemente una interfaz para codificar. Código que, según las estadísticas de seguridad de aplicação WhiteHat , tiene un promedio de 39 vulnerabilidades por cada 100 000 líneas de código (LOC). Espera, eso es para una aplicación tradicional. ¿Qué tal 180 por cada 100 000 LOC si implementaras la interfaz (API) con una arquitectura de microservicios? De cualquier manera, hay muchas vulnerabilidades.

Una API presenta las mismas vulnerabilidades que su contraparte, la aplicación web. Esto significa que requiere la misma atención en seguridad que una aplicação web.

Y, sin embargo, la importancia que se da a la seguridad de las API no es comparable con la de las aplicações web actuales (al menos no en base a la evidencia existencial que expone el enfoque mediocre de las pruebas de seguridad realizadas). Una encuesta informal realizada por SmartBear descubrió que solo el 12% de los encuestados realizó pruebas de seguridad de API "extensas" en la actualidad. Casi el doble (el 23 % para ser exactos) no realizó NINGUNA PRUEBA DE SEGURIDAD DE API. Esto está en línea con una investigación más formal realizada por SmartBear que encontró que el 80% de los encuestados prueban sus API.

Lo cual todavía deja un 20% que no lo hace.

API-first es una excelente forma de participar en la economía digital y transformar tanto el negocio como las operaciones en máquinas digitales eficientes y eficientes. Pero poner la seguridad en último lugar es una excelente manera de convertir eso en un hashtag de tendencia amarga en Twitter*. Y nadie quiere eso.

Entonces, si va a priorizar las API (y debería hacerlo), entonces necesita incorporar la seguridad como un ciudadano de primera clase. No acepte una estrategia que priorice la seguridad para sus API.

Algunos pasos sencillos para ayudarle a comenzar:

  1. Si existe, pruébelo.
  2. Si hay alguna entrada del usuario, no confíes en ella.
  3. Si hay un inicio de sesión de usuario, protéjalo contra ataques de fuerza bruta y credential stuffing .
  4. Tenga en cuenta la necesidad de mantener y parchear los sistemas y servicios sobre los que se basa su API. Su vulnerabilidad es la vulnerabilidad de su API.

Manténgase a salvo ahí fuera.