Confianza cero en las API en un mundo empresarial conectado

24. Octubre 2022
| No hay comentarios
Confianza cero en las API en un mundo empresarial conectado

Compartir publicación

En la economía digital, donde los flujos de datos y la orientación al cliente determinan los procesos comerciales de las empresas, las API ocupan una posición crucial. Proporcionan acceso a datos, sistemas y componentes de software relevantes. Sin embargo, esto también los convierte en un objetivo interesante para los piratas informáticos. Hora de la confianza cero en las API.

Los piratas informáticos intentan robar datos como nombres, números de cuenta, correo electrónico y direcciones físicas atacando las API y el tráfico de las API. Sin embargo, por su propia naturaleza, proteger las API e integrarlas en una estrategia Zero Trust presenta varios desafíos para las organizaciones que requieren un replanteamiento en su enfoque de la seguridad.

A los hackers les gusta atacar las API

"Es asombroso cuántos pilotos, incluso en la Fórmula 1, piensan que los frenos están ahí para reducir la velocidad del auto". Con esta ocurrencia, el piloto de carreras Mario Andretti señaló una vez el hecho de que los frenos, más allá de su propósito obvio, también están controlar la inclinación y el peso de un coche y así optimizar las curvas. De manera similar, hacer cumplir las políticas de seguridad de TI idealmente debería refinar los procesos subyacentes en lugar de hacerlos más complicados y, por lo tanto, más frustrantes para los usuarios.

Hay API donde sea necesario acelerar, simplificar o mejorar el viaje del usuario: por ejemplo, para realizar pagos con tarjeta de crédito en procesos de pedidos digitales, o para realizar mantenimiento remoto y actualizaciones de dispositivos. Según el reclamo, la seguridad debe estar "a bordo" en escenarios de aplicaciones como estos desde el principio, pero la realidad muestra que los piratas informáticos hacen un mal uso de las API para sus propios fines. Esto sucede una y otra vez debido a procesos inadecuados de autenticación y autorización.

API sin autenticación en uso

Por ejemplo, la primavera pasada, los expertos en seguridad de API de Salt Security descubrieron una API en John Deere, una empresa conocida por sus tractores, entre otras cosas, a la que los piratas informáticos podían llamar para determinar si se estaba utilizando un determinado nombre de usuario. Los expertos automatizaron una rutina de consulta que les permitió determinar en dos minutos cuál de las compañías Fortune 1000 tenía cuentas de John Deere porque la API no requería autenticación ni limitaba la cantidad de consultas. Alrededor del 20 por ciento de las empresas tenían una cuenta.

Otro punto final de la API hizo posible enviar un número de identificación del vehículo (VIN) y recuperar una gran cantidad de metadatos sobre el dispositivo, el propietario y la ubicación. Los piratas informáticos pueden obtener fácilmente VIN de sitios de subastas generales. Si bien la API requería autenticación, no pudo autorizar adecuadamente a los remitentes de solicitudes de API.

Confianza cero a lo largo del ciclo de vida de la API

Aparentemente, la "Seguridad por diseño" como base para la protección de datos en TI es difícil de implementar con las API. En ocasiones, esto puede deberse al hecho de que los procesos de desarrollo de API se basan principalmente en especificaciones comerciales y están desvinculados organizacionalmente de los procesos de seguridad de TI. Los diferentes actores de las empresas desarrollan y proporcionan las API que necesitan para su propósito. O se hacen cargo de las interfaces de otras empresas. La suposición de que estas API están conectadas a la infraestructura de la red y, por lo tanto, a la estructura de seguridad que las rodea, da a los usuarios una falsa sensación de seguridad. Sin embargo, esto no suele ser suficiente para proteger los flujos de datos a través de las API tanto fuera como dentro de una empresa.

Este último en particular requiere sus propias medidas de seguridad. Porque no todos los accesos que provienen de su propia infraestructura se autorizan automáticamente. Para controlar las solicitudes de manera real y eficiente, las tecnologías de seguridad también deben abordar las personas, los procesos y los patrones de acceso. Además, siempre se aplica el principio: la confianza es buena, el control es mejor. Por lo tanto, Zero Trust requiere que cada dispositivo y conexión se autentique cada vez que se contacte para obtener acceso autorizado. Para que esto también tenga éxito con las API, se requieren medidas de seguridad a lo largo de todo el ciclo de vida de las interfaces. Para evitar que las API se conviertan en vulnerabilidades de seguridad, las empresas deben seguir estas cinco reglas básicas:

  • Autenticación y autorización de extremo a extremo: Los procesos asociados no solo deben tener lugar directamente en la API o en la puerta de enlace. Deben repetirse en las aplicaciones subyacentes.
  • Aproveche los procesos de integración continua/entrega continua: Los desarrolladores deben verificar cómo pueden integrar las pautas de seguridad en sus ciclos de producción y qué procesos de validación pueden automatizar con CI/CD en el transcurso de esto.
  • Implementar medidas de seguridad automatizadas: Los equipos de operaciones de seguridad deben asegurarse de que los datos intercambiados en las comunicaciones API estén protegidos durante la transmisión, tanto dentro de la infraestructura como con otros sistemas. Para hacer esto, los procesos deben aplicar políticas automáticamente, por ejemplo, para proteger los datos del acceso dondequiera que se encuentren.
  • Capture todo de forma centralizada: Para encajar mejor la seguridad de TI y el desarrollo de aplicaciones, es esencial registrar y analizar todos los procesos y, si es necesario, verificar si hay riesgos. El lugar adecuado para ello es un repositorio central en el que los responsables puedan rastrear todos los procesos en cualquier momento.
  • Cooperación con la seguridad informática: Los equipos de desarrollo de API necesitan trabajar con los oficiales de seguridad de TI. Juntos pueden determinar qué tan efectivas son las medidas existentes para posibles problemas de seguridad de API y expandirlas si es necesario. También deben analizar varios escenarios de pérdida de datos y desarrollar un plan de emergencia. En todas las circunstancias, se debe evitar una API en la sombra que solo conocen los departamentos que la utilizan.

Cree transparencia y ejerza control

La seguridad y el intercambio de datos pueden representar una contradicción, y esto también y especialmente se aplica a las API: por un lado, las empresas las utilizan para fragmentar procesos, abrir sus estructuras, simplificar procesos para los usuarios y expandir su modelo de negocio. Por otro lado, no deben perder el control del tráfico de datos en este punto. Para conciliar los dos, las empresas necesitan transparencia. Todos los involucrados deben asegurarse de conocer y administrar de manera confiable todas las API que usan.

Las puertas de enlace API pueden ayudarlos a descubrir automáticamente todas las API en la empresa y aplicar políticas de seguridad. Una solución eficaz de administración de API monitorea quién está usando qué API y también alerta al gerente sobre cualquier comportamiento inusual o sospechoso que podría indicar que una persona no autorizada está trabajando. Los respectivos departamentos también están involucrados en la seguridad. En combinación con el gobierno de API centralizado, las organizaciones pueden incorporar seguridad a lo largo del ciclo de vida de una API y protegerla contra la manipulación no autorizada de comunicaciones sin comprometer la experiencia del usuario.

Más en Axway.com

 

Acerca de Axway

Axway brinda un nuevo impulso a las infraestructuras de TI existentes, ayudando a más de 11.000 clientes en todo el mundo a construir sobre lo que ya tienen y lograr la digitalización, nuevas oportunidades comerciales y crecimiento. La plataforma de administración de API de Amplify es la única plataforma abierta e independiente para administrar y controlar las API en equipos, nube híbrida y soluciones externas.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , , , ,