6 principios de una estrategia integral de seguridad de API

Existe una posibilidad muy real de que, si lo intentara, no pudiera identificar todos los puntos finales de API en su entorno en este momento. Lamentablemente, es posible que no pueda decirse lo mismo de los actores maliciosos. Si existe un punto final, se lo puede utilizar como vía de entrada o de interrupción de funciones críticas del negocio.

Además, al exponer las API públicamente, podrá recibir consultas de una gran cantidad de clientes, socios y aplicaciones. Esta exposición también expone a su organización a riesgos, por lo que es fundamental comprender y monitorear las API. Hay una serie de controles de riesgo que deben tenerse en cuenta para proteger a sus organizaciones de las vulnerabilidades y amenazas potenciales que las API pueden exponer y que podrían provocar infracciones y tiempos de inactividad.

Para cualquier defensor, el descubrimiento de API es el primer paso fundamental para proteger las API. Puede que no haga falta decirlo, pero no hay nada más cierto que el dicho “no puedes proteger lo que no puedes ver”. Tener un inventario de API completo sirve como punto de partida para desarrollar o mejorar cualquier postura de seguridad de API, ayudándole a comprender y cuantificar toda su superficie de amenaza de API. Sirve como base para:

• Visibilidad: Al catalogar todas las API disponibles, mejora la comprensión del panorama de amenazas de su API, incluidas las vulnerabilidades, la exposición de datos confidenciales y los puntos finales no autorizados u olvidados.
• Control de versiones: Establecer un inventario ayuda con la gestión de versiones: conocer el historial y las diferentes versiones de las API le ayuda a retirar versiones obsoletas o vulnerables o protegerlas adecuadamente.
• Escucha: Un inventario de API centralizado y completo le permite monitorear y registrar mejor el uso de la API, lo que facilita la detección y respuesta a actividades sospechosas (anomalías) y posibles eventos de seguridad; además, en el caso de un incidente, un inventario claro puede ayudar en su respuesta.
• Controles y políticas de seguridad consistentes: Tener esta visibilidad, incluido un inventario de API completo, le permite implementar controles y políticas de manera efectiva en toda la superficie de amenaza de su API.

Es una lucha clásica. Por un lado, la necesidad de ser audaz, de superar los límites y de hacer lo que los competidores no pueden hacer es una piedra angular de cualquier negocio exitoso. Pero, por otro lado, mantenerse seguro no siempre es una buena combinación con las innovaciones más recientes.

La clave para lograr el equilibrio es triple:

• Diseñar una estrategia de gobernanza de API para cada tipo de API con el fin de establecer los controles de seguridad adecuados.
• Implemente políticas de seguridad de API que puedan aplicarse de manera consistente dondequiera que se implementen las API.
• Adaptarse a las amenazas emergentes, el comportamiento anómalo y los usuarios maliciosos que intentan explotar o abusar de las APl mediante IA para disminuir la carga de los equipos de seguridad.

Dependiendo de su industria, los estándares de cumplimiento variarán y algunos requerirán una seguridad más estricta que otros. De todos modos, es esencial que su postura de seguridad de API sea lo suficientemente sólida como para enfrentar una avalancha de vectores de amenaza.

Las pruebas de seguridad de API no son algo que se hace una sola vez. Realizar pruebas antes, durante y después de la implementación es fundamental. Al integrar pruebas en cada etapa del desarrollo, se obtienen muchas más oportunidades de identificar debilidades y vulnerabilidades antes de que ocurra una vulneración. Y si bien las herramientas de pruebas específicas de seguridad son excelentes, no te olvides también del modelado de casos de uso de seguridad.

La seguridad debe ejecutarse en el mismo ciclo de vida continuo de las propias aplicaciones, lo que significa una estrecha integración en los procesos de CI/CD, el aprovisionamiento de servicios y los ecosistemas de supervisión de eventos.

Así como no existe un único alimento que nos mantenga completamente nutridos, no existe un único control de seguridad que proteja completamente las API. En cambio, es necesario desarrollar una estrategia que emplee un ecosistema integral de herramientas como parte de una arquitectura de seguridad de API y aplicaciones holística. Esto incluye detección y aplicación en línea, lo que le brinda la capacidad de controlar el comportamiento de la API, limitar la actividad no deseada o maliciosa y bloquear la exposición de datos confidenciales.

Esto puede incluir una combinación de capacidades y herramientas que incluyen:

• Una puerta de enlace de API
• Pruebas de seguridad de las aplicaciones (SAST y DAST)
• Un firewall de aplicação web (WAF)
• Prevención de pérdida de datos (DLP)
• Bot management
• Mitigación DDoS

Las puertas de enlace API brindan sólidas capacidades de inventario y gestión, pero solo brindan seguridad básica, como limitación de velocidad, que no disuadirá a los atacantes sofisticados. Además, la proliferación de API está dando lugar a una proliferación de herramientas, incluida la proliferación de puertas de enlace de API.

Las pruebas de seguridad de las aplicaciones siempre son fundamentales, pero las metodologías de cambio a la izquierda para lograr una seguridad de aplicação sólida durante el desarrollo deben complementarse con prácticas de protección a la derecha, es decir, proteger los puntos finales de las API en producción. 

Los firewalls de aplicação web brindan una solución provisional crucial para mitigar las vulnerabilidades de las aplicação mediante firmas. Las API son susceptibles a los mismos tipos de ataques de inyección que las aplicações que admiten (que intentan ejecutar comandos no deseados o acceder a datos). Pero los WAF generalmente carecen de las capacidades de descubrimiento dinámico necesarias para detectar continuamente API desconocidas (sombra o zombis) y problemas que incluyen anomalías de comportamiento con las API y posibles vulnerabilidades de la lógica empresarial.

Las capacidades de detección de datos confidenciales y prevención de pérdida de datos ayudan a proteger las API y los datos a los que acceden y transmiten al detectar y enmascarar datos críticos confidenciales, incluida información de identificación personal (PII) e información financiera. Esto permite a las organizaciones crear reglas de protección de datos para limitar o enmascarar la transmisión de datos y evitar que los puntos finales de la API expongan datos por completo, lo que ayuda a prevenir fugas de datos a través de las API.

La gestión de bots para API no puede depender de controles de seguridad de uso común, como la autenticación multifactor (MFA) y CAPTCHA, ya que el tráfico de API normalmente es de máquina a máquina y no hay interacción humana directa, excepto dentro de las interfaces de usuario en los sistemas basados en API. 

La mitigación tradicional de DDoS se centra en ataques volumétricos y de red, mientras que las API pueden estar sujetas a ataques de capa 7 dirigidos que abusan de la lógica empresarial crítica. El resultado final es el mismo: degradación del rendimiento y, potencialmente, tiempo de inactividad.

El descubrimiento dinámico de API, la aplicación de esquemas (seguridad positiva), el control de acceso, la detección automatizada de anomalías y las protecciones basadas en el aprendizaje automático han surgido como capacidades críticas del ecosistema para defender las API. Es importante tener una herramienta o varias herramientas que dominen los protocolos API y permitan la aplicación del comportamiento adecuado de la API y la creación de reglas de protección de la API. Las organizaciones necesitan poder crear reglas personalizadas que rijan específicamente las API y el comportamiento de las API. Esto incluye controles de listas de permitidos y denegados, limitación de velocidad, filtrado geográfico de IP y creación de reglas personalizadas para actuar sobre solicitudes de API, incluido el enmascaramiento de datos confidenciales y criterios de coincidencia y restricción de solicitudes para puntos finales o grupos de API específicos.

La proliferación de API está impulsando una expansión arquitectónica insostenible en entornos híbridos y de múltiples nubes. Una vez más, la proliferación de API ha llevado a una proliferación de puertas de enlace de API, ya que muchas herramientas de seguridad no pueden brindar seguridad consistente en múltiples arquitecturas, como centros de datos, nubes privadas/públicas y el borde. La visibilidad y el control del tráfico de API en todo el ecosistema digital son fundamentales para mitigar la próxima vulnerabilidad crítica y evitar errores de configuración que pueden ocurrir cuando los puntos finales se distribuyen entre diferentes proveedores de nube.