La necesidad de una seguridad de API robusta está creciendo rápidamente en respuesta a la creciente dependencia de las organizaciones de las API para sus operaciones digitales.
Con el 70% de los encuestados a un informe esperando usar más API en 2023 que el año pasado, esto presenta un mayor desafío para la seguridad de API, que solo comprende alrededor del 4% de los esfuerzos de prueba en las organizaciones en la actualidad.
El cuarto informe anual sobre el estado de las API recopiló información de más de 850 desarrolladores, ingenieros y líderes globales de toda la comunidad tecnológica que abarca más de 100 países, incluidos EE. UU., Reino Unido, Alemania e India.
El mayor uso de API es especialmente prominente en las telecomunicaciones, que se prevé que aumente al 72 %, frente al 59 % del año pasado. A esto le siguen aumentos más pequeños, pero aún considerables, en los campos de la tecnología y los servicios profesionales.
Mark O’Neill, analista vicepresidente y jefe de investigación de ingeniería de software program de Gartner, predijo correctamente en 2021 que para este año, las infracciones de API serían el vector de amenazas número uno para las aplicaciones net.
“Parte de la razón de esto es que con las aplicaciones móviles y net, junto con cualquier otro tipo de aplicación moderna que esté usando, todo implica el uso de API”, dijo O’Neill.
Investigación de Gartner ha estimado que para 2025, se administrarán menos de la mitad de las API empresariales, ya que el crecimiento explosivo de las API supera las capacidades de las herramientas de administración de API y “los controles de seguridad intentan aplicar viejos paradigmas a nuevos problemas”.
Esta gran cantidad de API que flotan en la organización se complica aún más por los múltiples equipos que crean y administran las API mientras usan diferentes plataformas y marcos en la nube, según O’Neill.
“Cuando tienes diferentes plataformas en las que tus equipos crean e implementan API, no hay un solo lugar para colocar la puerta de enlace, lo cual es un problema para las soluciones tradicionales de administración de API”, dijo O’Neill.
Para asegurar este amplio panorama de API, muchas empresas han instalado múltiples puertas de enlace, lo que significa que ahora hay más puertas de enlace frente a las API, pero creó un nuevo problema de aprender a administrar todas estas puertas de enlace juntas.
“Muchos clientes nos han pedido una solución federada que funcione en diferentes puertas de enlace de API y permita a los equipos tener una imagen única de su tráfico de API y tener un plano de management único para administración y seguridad, pero por el momento, eso es un vacío. en el mercado”, dijo O’Neill.
Una única solución federada permitiría a los usuarios configurar esquemas de autenticación y autorización en diferentes API, asegurando que solo los usuarios correctos tengan acceso a los recursos correctos. También permite a los administradores configurar límites de velocidad y otras medidas de seguridad, como listas blancas/negras de IP, para protegerse contra ataques maliciosos.
Con una solución de este tipo, los equipos también obtendrían visibilidad sobre el rendimiento y el uso de la API, lo que les permitiría identificar y abordar posibles problemas de seguridad rápidamente.
Una mezcolanza de API en uso
El otro problema que presentan las API para las soluciones de administración de API es que hay muchos tipos diferentes de API en uso.
El revoltijo de API a menudo consiste en REST, Webhooks, Websockets, SOAP, GraphQL, Kafka, AsyncAPI, gRPC, si no más.
“Si observa una organización típica que ha implementado la administración de API, puede creer que todas sus API se administran en una plataforma”, dijo O’Neill. “Pero por lo basic, hay muchas otras API que tienen que son parte de las aplicaciones net, parte de las aplicaciones móviles, y no están administradas, están efectivamente bajo el radar de esa organización. Y estos son los que se violan”.
Las API a tener en cuenta en specific son GraphQL, según O’Neill. Los usuarios pueden realizar consultas muy amplias y profundas sobre los datos, lo que también puede ser su inconveniente porque es difícil establecer reglas de management de acceso adecuadas. La complejidad de la consulta puede dificultar la predicción de qué datos estarán accesibles.
Además, el uso de variables en las consultas puede dificultar la prevención de usuarios malintencionados que exploten la API. Las API de GraphQL a menudo no tienen estado, lo que significa que los equipos de seguridad deben asegurarse de que todas las solicitudes se autentiquen y autoricen correctamente. Estos tipos de API también son nuevos, por lo que muchas organizaciones solo están desarrollando las habilidades de sus equipos de seguridad en torno a GraphQL y las API gráficas en basic.
Otro desafío es considerar de dónde provienen todas sus API.
Si bien las API internas seguían siendo el tipo de API más común en el que los desarrolladores informaron que trabajaban para su organización, más desarrolladores en 2022 informaron que trabajaron en API de socios o de terceros que el año anterior. Además, las aplicaciones SaaS que utilizan los desarrolladores también suelen utilizar su propio conjunto de API.
El porcentaje de desarrolladores que informaron trabajar en API de terceros y orientadas a socios creció casi un 5 % en 2022 en comparación con 2021, según el informe Estado de la API de 2022. Este cambio fue aún más drástico con las API orientadas a socios en industrias como la tecnología, que creció casi un 10 %.
Un punto crítico de los problemas de seguridad tiende a estar en torno a las API que requieren acceso a los datos: datos del cliente, preferencias y todo tipo de información de la cuenta. Los problemas también rodean a las API que ejecutan una función para hacer algo porque a menudo eso requiere una transacción, por lo que la información de pago podría estar en riesgo, dijo O’Neill.
“Uno es toda el área de las tarjetas de fidelización donde obtienes puntos por hacer compras, viajar, and so forth. Esos implican muchas API. Entonces, tiene una API para buscar cuántos puntos tiene una determinada persona o tiene una API para gastar los puntos. Hemos visto brechas de seguridad en las que los atacantes han podido encontrar personas que han acumulado muchos puntos y luego gastarlos”, dijo O’Neill. “A menudo, la persona no se da cuenta, porque simplemente no se dio cuenta de que estaba acumulando todos estos puntos en primer lugar, y luego no se da cuenta de cuándo se gastó”.
Mejores prácticas para la seguridad de API
El primer paso para garantizar la seguridad de las API es catalogar todas las API de la organización y tener un inventario. A menudo, las empresas solo miran su puerta de enlace API existente para ver qué API están registradas allí, pero incluso múltiples puertas de enlace no pintan la imagen completa, explicó O’Neill.
“La forma en que aconsejamos a las personas que hagan esto es ver de qué API depende su negocio”, dijo O’Neill. “Entonces, por supuesto, pueden ser sus propias API, pero también pueden ser importantes para las API que está consumiendo de terceros. Va a ser un problema si esas API sufren una brecha de seguridad, si no están disponibles o si simplemente están cambiando y creando cambios importantes. Por lo tanto, el descubrimiento de API es un problema difícil porque tiene que buscar las API en varios lugares”.
Un enfoque es simplemente preguntar a los gerentes de productos internos que luego hablan con los líderes de ingeniería sobre qué API están creando los equipos.
También hay algunas soluciones en el mercado que permiten a los usuarios aprovechar los firewalls de aplicaciones en la infraestructura a nivel de CDN para observar el tráfico y ver qué llamadas a la API están ocurriendo.
“Ese enfoque puede, en muchos sentidos, ser demasiado tarde porque las API que está descubriendo ya están en producción. Pero aun así, es mejor que no descubrirlos en absoluto”, dijo O’Neill.
Uso de API para aumentar la seguridad
Al colaborar con las API, las organizaciones pueden volverse más seguras en su conjunto. Uno de esos ejemplos ocurrió en la Iniciativa de Banca Abierta que comenzó en Europa pero que desde entonces se ha extendido en popularidad a América del Norte.
La Iniciativa de Banca Abierta comenzó en enero de 2016, cuando la Autoridad de Mercados y Competencia (CMA) del Reino Unido emitió una directiva que ordenaba a los nueve bancos más grandes del país abrir los datos de sus clientes a proveedores externos.
Desde entonces, se ha vuelto valioso porque ha permitido a las instituciones financieras crear API abiertas que las organizaciones externas y sus desarrolladores externos pueden aprovechar, según MuleSoft en un entrada en el weblog.
En lugar de abrir las API para atacar, la iniciativa permitió una forma segura de intercambio de datos que acelera la colaboración con organizaciones externas y ha disminuido los riesgos asociados con el raspado de pantalla, una técnica utilizada por los programas para extraer datos de la salida legible por humanos de un aplicación de computadora.
El raspado de pantalla es inseguro porque requiere que los clientes proporcionen a los agregadores de terceros las credenciales de inicio de sesión y también impulsa un tráfico significativo a los servidores con cada “raspado”.
Las iniciativas de Open Banking ofrecen a las instituciones financieras la oportunidad de colaborar de manera segura con desarrolladores externos a través de API. A diferencia del display scraping, este intercambio seguro de datos está habilitado por API y no sobrecarga ni sobrecarga los servidores.
Pronóstico del mercado para 2023
Los ataques cibernéticos y las filtraciones de datos no se detienen con una desaceleración económica. Al priorizar las inversiones en seguridad, los líderes de seguridad deben continuar invirtiendo en controles y soluciones de seguridad que protejan las cargas de trabajo orientadas al cliente y generadoras de ingresos de la organización, así como cualquier infraestructura crítica para la salud y la seguridad de esas organizaciones en industrias como servicios públicos, energía, y transporte, según Forrester en su Guía de Planificación 2023: Seguridad y Riesgo.
“API-first es el enfoque de desarrollo moderno de facto, y las API ayudan a las organizaciones a crear nuevos modelos comerciales y métodos de compromiso con clientes y socios. Sin embargo, las infracciones de seguridad debidas a API y puntos finales de API desprotegidos son comunes y ningún tipo de herramienta aborda completamente la seguridad de API”, afirma la guía.
Las herramientas de administración de API abordan los problemas de autenticación y autorización, mientras que las herramientas de seguridad específicas de API se utilizan para escanear y descubrir. Además, algunas herramientas de seguridad se extienden más allá para proporcionar protecciones en tiempo de ejecución y micropuertas de enlace para proteger contra ataques de API. Las herramientas de seguridad tradicionales, como los WAF y las soluciones de administración de bots, también se están expandiendo para cubrir estos ataques, agregó el informe.
O’Neill de Gartner dijo que está viendo que los grandes proveedores avanzan en la provisión de una sólida protección API y están adquiriendo algunos de los proveedores especialistas más pequeños que también se han unido para la protección API.
Según el informe Estado de las API de 2022, el 69 % de los desarrolladores dijeron que esperaban usar más las API en 2023, mientras que el 25 % dijo que esperaban más o menos lo mismo. Solo alrededor del 6% afirmó que esperaba menos o que no sabía.
