Las API desempeñan un papel esencial en las arquitecturas de aplicaciones modernas y este proyecto de OWASP se centra en concienciar sobre las debilidades de seguridad comunes de las API.
El objetivo de la lista OWASP (Open Worldwide Aplicação Security Project) de los 10 principales riesgos de seguridad de API es educar a aquellos involucrados en el desarrollo y mantenimiento de API y aumentar la conciencia sobre las debilidades comunes de seguridad de API. Las API se han convertido cada vez más en un objetivo para los atacantes y el proyecto de seguridad de API de OWASP se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades únicas y los riesgos de seguridad asociados con las API.
Las API (interfaces de programación de aplicação ) son fundamentales para el desarrollo de aplicações modernas, ya que facilitan la capacidad de las aplicações para comunicarse e intercambiar datos con otras aplicações, servicios o plataformas. Las API son una parte clave de una estrategia de modernización de aplicaciones y son la base de las aplicaciones móviles. Permiten a las empresas integrarse fácilmente con plataformas externas y servicios de terceros y crear soluciones integrales conectando varios componentes. Esto promueve un enfoque modular para el desarrollo de aplicaciones que permite a los desarrolladores aprovechar los servicios y la funcionalidad existentes, promover la reutilización del código, acelerar los ciclos de desarrollo y mejorar la productividad.
Las API también amplían la superficie expuesta a riesgos y, en concreto, introducen riesgos imprevistos debido a la naturaleza de sus interdependencias entre arquitecturas multinube. Al igual que las aplicaciones web, las API son susceptibles a las explotaciones de vulnerabilidades, al abuso proveniente de amenazas automatizadas, la denegación de servicio, la configuración errónea y los ataques que eluden los controles de autenticación y autorización.
Debido a su naturaleza, las API exponen lógica de negocio crítica e información confidencial, como datos de usuario, credenciales de autenticación y transacciones financieras, por lo que se han ido convirtiendo cada vez más en blanco de los atacantes; en particular, las funciones de inicio de sesión, creación de cuentas, adición al carrito y transferencia de dinero. Las API pueden convertirse en puntos de entrada para los atacantes que buscan aprovecharse de las vulnerabilidades o debilidades, o exponer la infraestructura y los recursos subyacentes.
Son necesarias medidas de seguridad de API sólidas para proteger los datos del acceso no autorizado para garantizar la privacidad y mantener la confianza de los usuarios y las partes interesadas, así como para garantizar la confidencialidad, la integridad y la disponibilidad de las API. Las mejores prácticas para la seguridad de la API incluyen las siguientes:
El OWASP API Security Top 10 – 2023 se formuló para aumentar la conciencia sobre las debilidades comunes de seguridad de API y para ayudar a los desarrolladores, diseñadores, arquitectos, gerentes y otras personas involucradas en el desarrollo y mantenimiento de API a mantener un enfoque proactivo hacia la seguridad de API.
Los 10 riesgos de seguridad principales de las API según OWASP para 2023 son:
F5 apoya a la Fundación OWASP y su dedicación a mejorar la seguridad del software y generar conciencia sobre los riesgos y vulnerabilidades de seguridad de las aplicação web en múltiples niveles. De hecho, existen riesgos de seguridad comunes tanto a las aplicaciones como a las API que deben tenerse en cuenta al implementar soluciones de seguridad. Por ejemplo:
F5 aborda los riesgos identificados en el Top 10 de seguridad de API de OWASP con soluciones que protegen la creciente superficie de ataque y las amenazas emergentes a medida que las aplicaciones evolucionan y aumentan las implementaciones de API. Las soluciones F5 Web Aplicação and API Protection (WAAP) defienden la totalidad de la superficie de ataque de las aplicaciones modernas con protecciones integrales que incluyen WAF, seguridad de API , mitigación de DDoS L3-L7 y defensa contra bots contra amenazas automatizadas y fraude. La plataforma distribuida simplifica la implementación de políticas consistentes y escala la seguridad en todo su patrimonio de aplicaciones y API, independientemente de dónde estén alojadas, e integra protecciones en el ciclo de vida de las API y en ecosistemas de seguridad más amplios.
F5 ofrece arquitecturas de seguridad híbridas que protegen de forma consistente y continua las aplicaciones y las API desde el núcleo hasta la nube y el perímetro. Las soluciones de F5 descubren dinámicamente y protegen automáticamente la lógica comercial crítica detrás de las API utilizando inteligencia de amenazas, seguridad basada en ML y principios de confianza cero, proporcionando la resiliencia y la agilidad necesarias para competir en la economía digital impulsada por API.
Las soluciones de firewall de aplicação web de F5 también bloquean y mitigan un amplio espectro de riesgos identificados por OWASP Top 10, una lista ampliamente reconocida de los riesgos de seguridad de aplicação web más críticos. Las API, al igual que las aplicaciones web, son susceptibles a configuraciones incorrectas y amenazas automatizadas, y pueden ser blanco de exploits de vulnerabilidades, SSRF y ataques que intentan eludir los controles de autenticación y autorización. Las soluciones F5 WAF combinan protecciones de firmas y comportamiento, incluida inteligencia sobre amenazas de F5 Labs y seguridad basada en ML, para mantenerse al día con las amenazas emergentes; también se pueden integrar con controles de defensa contra bots especializados.
Estas soluciones alivian la carga y la complejidad de proteger de forma coherente las aplicaciones en las nubes, los entornos locales y los entornos periféricos, al tiempo que simplifican la gestión mediante una infraestructura SaaS centralizada. Las soluciones F5 WAF también optimizan la seguridad de las aplicaciones al integrar protecciones en los marcos de desarrollo y las canalizaciones CI/CD con funciones de seguridad básicas, orquestación centralizada y supervisión a través de un solo panel con una vista de 360 grados del rendimiento de las aplicaciones y de los eventos de seguridad en todas las aplicaciones distribuidas.
F5 también ofrece soluciones para abordar los riesgos descritos en el Proyecto de Amenazas Automatizadas a Aplicações Web de OWASP. F5 Distributed Cloud Bot Defense previene el fraude y el abuso que pueden eludir las soluciones de gestión de bots existentes y brinda monitoreo e inteligencia en tiempo real, así como análisis retrospectivo basado en ML para proteger a las organizaciones de ataques automatizados, sin insertar fricción en el usuario ni interrumpir la experiencia del cliente. Distributed Cloud Bot Defense mantiene su eficacia independientemente de cómo los atacantes se reorienten, ya sea que los ataques pasen de aplicaciones web a API o intenten eludir las defensas antiautomatización falsificando la telemetría o utilizando solucionadores de CAPTCHA humanos.
F5 también ofrece protección DDoS de múltiples niveles para seguridad en línea avanzada como un servicio de mitigación administrado y distribuido en la nube que detecta y mitiga ataques a gran escala dirigidos a redes, protocolos y aplicaciones en tiempo real; las mismas protecciones también están disponibles como soluciones locales de hardware, software e híbridas. F5 Distributed Cloud DDoS Mitigation defiende contra ataques volumétricos y específicos de la aplicación de capa 3-4 y de capa 7 avanzados antes de que lleguen a su infraestructura de red y aplicações.
RESUMEN DE LA SOLUCIÓN
Seguridad de API de F5 Distributed Cloud ›
LIBRO ELECTRÓNICO
Dominando la arquitectura de API ›