En la economía digital, donde los flujos de datos y la orientación al cliente determinan los procesos comerciales de las empresas, las API ocupan una posición crucial. Proporcionan acceso a datos, sistemas y componentes de software relevantes. Sin embargo, esto también los convierte en un objetivo interesante para los piratas informáticos. Hora de la confianza cero en las API.
Los piratas informáticos intentan robar datos como nombres, números de cuenta, correo electrónico y direcciones físicas atacando las API y el tráfico de las API. Sin embargo, por su propia naturaleza, proteger las API e integrarlas en una estrategia Zero Trust presenta varios desafíos para las organizaciones que requieren un replanteamiento en su enfoque de la seguridad.
A los hackers les gusta atacar las API
"Es asombroso cuántos pilotos, incluso en la Fórmula 1, piensan que los frenos están ahí para reducir la velocidad del auto". Con esta ocurrencia, el piloto de carreras Mario Andretti señaló una vez el hecho de que los frenos, más allá de su propósito obvio, también están controlar la inclinación y el peso de un coche y así optimizar las curvas. De manera similar, hacer cumplir las políticas de seguridad de TI idealmente debería refinar los procesos subyacentes en lugar de hacerlos más complicados y, por lo tanto, más frustrantes para los usuarios.
Hay API donde sea necesario acelerar, simplificar o mejorar el viaje del usuario: por ejemplo, para realizar pagos con tarjeta de crédito en procesos de pedidos digitales, o para realizar mantenimiento remoto y actualizaciones de dispositivos. Según el reclamo, la seguridad debe estar "a bordo" en escenarios de aplicaciones como estos desde el principio, pero la realidad muestra que los piratas informáticos hacen un mal uso de las API para sus propios fines. Esto sucede una y otra vez debido a procesos inadecuados de autenticación y autorización.
API sin autenticación en uso
Por ejemplo, la primavera pasada, los expertos en seguridad de API de Salt Security descubrieron una API en John Deere, una empresa conocida por sus tractores, entre otras cosas, a la que los piratas informáticos podían llamar para determinar si se estaba utilizando un determinado nombre de usuario. Los expertos automatizaron una rutina de consulta que les permitió determinar en dos minutos cuál de las compañías Fortune 1000 tenía cuentas de John Deere porque la API no requería autenticación ni limitaba la cantidad de consultas. Alrededor del 20 por ciento de las empresas tenían una cuenta.
Otro punto final de la API hizo posible enviar un número de identificación del vehículo (VIN) y recuperar una gran cantidad de metadatos sobre el dispositivo, el propietario y la ubicación. Los piratas informáticos pueden obtener fácilmente VIN de sitios de subastas generales. Si bien la API requería autenticación, no pudo autorizar adecuadamente a los remitentes de solicitudes de API.
Confianza cero a lo largo del ciclo de vida de la API
Aparentemente, la "Seguridad por diseño" como base para la protección de datos en TI es difícil de implementar con las API. En ocasiones, esto puede deberse al hecho de que los procesos de desarrollo de API se basan principalmente en especificaciones comerciales y están desvinculados organizacionalmente de los procesos de seguridad de TI. Los diferentes actores de las empresas desarrollan y proporcionan las API que necesitan para su propósito. O se hacen cargo de las interfaces de otras empresas. La suposición de que estas API están conectadas a la infraestructura de la red y, por lo tanto, a la estructura de seguridad que las rodea, da a los usuarios una falsa sensación de seguridad. Sin embargo, esto no suele ser suficiente para proteger los flujos de datos a través de las API tanto fuera como dentro de una empresa.
Este último en particular requiere sus propias medidas de seguridad. Porque no todos los accesos que provienen de su propia infraestructura se autorizan automáticamente. Para controlar las solicitudes de manera real y eficiente, las tecnologías de seguridad también deben abordar las personas, los procesos y los patrones de acceso. Además, siempre se aplica el principio: la confianza es buena, el control es mejor. Por lo tanto, Zero Trust requiere que cada dispositivo y conexión se autentique cada vez que se contacte para obtener acceso autorizado. Para que esto también tenga éxito con las API, se requieren medidas de seguridad a lo largo de todo el ciclo de vida de las interfaces. Para evitar que las API se conviertan en vulnerabilidades de seguridad, las empresas deben seguir estas cinco reglas básicas:
- Autenticación y autorización de extremo a extremo: Los procesos asociados no solo deben tener lugar directamente en la API o en la puerta de enlace. Deben repetirse en las aplicaciones subyacentes.
- Aproveche los procesos de integración continua/entrega continua: Los desarrolladores deben verificar cómo pueden integrar las pautas de seguridad en sus ciclos de producción y qué procesos de validación pueden automatizar con CI/CD en el transcurso de esto.
- Implementar medidas de seguridad automatizadas: Los equipos de operaciones de seguridad deben asegurarse de que los datos intercambiados en las comunicaciones API estén protegidos durante la transmisión, tanto dentro de la infraestructura como con otros sistemas. Para hacer esto, los procesos deben aplicar políticas automáticamente, por ejemplo, para proteger los datos del acceso dondequiera que se encuentren.
- Capture todo de forma centralizada: Para encajar mejor la seguridad de TI y el desarrollo de aplicaciones, es esencial registrar y analizar todos los procesos y, si es necesario, verificar si hay riesgos. El lugar adecuado para ello es un repositorio central en el que los responsables puedan rastrear todos los procesos en cualquier momento.
- Cooperación con la seguridad informática: Los equipos de desarrollo de API necesitan trabajar con los oficiales de seguridad de TI. Juntos pueden determinar qué tan efectivas son las medidas existentes para posibles problemas de seguridad de API y expandirlas si es necesario. También deben analizar varios escenarios de pérdida de datos y desarrollar un plan de emergencia. En todas las circunstancias, se debe evitar una API en la sombra que solo conocen los departamentos que la utilizan.
Cree transparencia y ejerza control
La seguridad y el intercambio de datos pueden representar una contradicción, y esto también y especialmente se aplica a las API: por un lado, las empresas las utilizan para fragmentar procesos, abrir sus estructuras, simplificar procesos para los usuarios y expandir su modelo de negocio. Por otro lado, no deben perder el control del tráfico de datos en este punto. Para conciliar los dos, las empresas necesitan transparencia. Todos los involucrados deben asegurarse de conocer y administrar de manera confiable todas las API que usan.
Las puertas de enlace API pueden ayudarlos a descubrir automáticamente todas las API en la empresa y aplicar políticas de seguridad. Una solución eficaz de administración de API monitorea quién está usando qué API y también alerta al gerente sobre cualquier comportamiento inusual o sospechoso que podría indicar que una persona no autorizada está trabajando. Los respectivos departamentos también están involucrados en la seguridad. En combinación con el gobierno de API centralizado, las organizaciones pueden incorporar seguridad a lo largo del ciclo de vida de una API y protegerla contra la manipulación no autorizada de comunicaciones sin comprometer la experiencia del usuario.
Más en Axway.com
Acerca de Axway
Axway brinda un nuevo impulso a las infraestructuras de TI existentes, ayudando a más de 11.000 clientes en todo el mundo a construir sobre lo que ya tienen y lograr la digitalización, nuevas oportunidades comerciales y crecimiento. La plataforma de administración de API de Amplify es la única plataforma abierta e independiente para administrar y controlar las API en equipos, nube híbrida y soluciones externas.