Los ataques a API aumentan un 400% en los últimos seis meses

Jul 15, 2023

Inicio » Security Boulevard (Original) » Los ataques a API aumentan un 400% en los últimos seis meses

Los ataques a las API siguen aumentando considerablemente. Los nuevos hallazgos de Salt Labs encontraron un sorprendente aumento del 400 % en los atacantes de API únicos en los últimos seis meses. Curiosamente, el informe también descubrió que casi el 80% de los ataques ocurren en puntos finales autenticados. Gartner predijo anteriormente que las API pronto se convertirían en el vector de ataque más frecuente, y nuevos datos parecen demostrar estas afirmaciones.

En general, el tráfico de API está creciendo exponencialmente, principalmente debido a la proliferación de nuevas API web. Estos puntos finales pueden construirse para exponer plataformas públicas o abrir conjuntos de datos internos, conectar microservicios o impulsar ecosistemas de socios digitales. Sin embargo, no todos estos puntos de integración son seguros por diseño; muchos sufren de vulnerabilidades como autorización a nivel de objeto rota. Además, la expansión de las API podría producir API zombis o en la sombra que queden sin control. Por estas razones, muchos piratas informáticos ven las API como algo fácil de conseguir.

A continuación, compartiré algunas conclusiones del informe sobre el estado de la seguridad de las API del primer trimestre de 2023 de Salt Lab. También me senté con Stephanie Best, directora de Salt Security, para descubrir por qué los ataques a API se están acelerando y considerar qué mejores prácticas pueden adoptar las organizaciones para detener la creciente marea de amenazas relacionadas con API.

Los datos empíricos, compilados mediante el monitoreo del tráfico de la base de clientes de Salt Security, encontraron un volumen significativo de atacantes únicos atacando las API de producción. "No esperábamos ver ese volumen explotar", dijo Best. El crecimiento de las API se está acelerando, explicó, y como tal, puede ser difícil asegurar este crecimiento, y mucho menos mantenerse al día con un catálogo en constante evolución.

A medida que las organizaciones producen cientos, si no miles, de API, gestionar las repercusiones en la seguridad se está convirtiendo en una carga. Como resultado, el 94 % experimentó problemas de seguridad en las API de producción durante el año pasado, y el 17 % afirmó que sus organizaciones sufrieron una violación de datos debido a brechas de seguridad en las API. Los profesionales de la seguridad y los desarrolladores de API tienden a temer más las perspectivas de puntos finales zombis obsoletos, la apropiación de cuentas y los ataques de denegación de servicio.

Los problemas comunes de seguridad de las API incluyen vulnerabilidades, problemas de autenticación, exposición de datos confidenciales, ataques de fuerza bruta y otros problemas. Y si asignamos los tipos de ataques más comunes al Top 10 de seguridad de API de OWASP, los principales riesgos incluyen API8:2019 Inyección (29%), API7:2019 Configuración incorrecta de seguridad (23%), API4:2019 Falta de recursos y limitación de velocidad ( 20%) y API2:2019 Autenticación de usuario rota (9%).

Según Best, la razón clave detrás del aumento del tráfico de ataques se reduce al volumen. El uso de API se ha disparado y se ha arraigado en muchos aspectos de una empresa. Incluso las empresas no técnicas se están transformando en empresas de software y, al hacerlo, se vuelven dependientes de API de nube internas y de terceros a medida que modernizan su arquitectura de software. Sin embargo, las herramientas de seguridad tradicionales simplemente no están bien equipadas para detectar brechas en la lógica empresarial, afirmó Best.

Curiosamente, el 78 % de los ataques provienen de usuarios autenticados, lo que indica que los atacantes suelen intentar lograr la autenticación y hacerse pasar por usuarios legítimos. Los atacantes se han vuelto más inteligentes y han aprendido a manipular las API para aumentar sus privilegios y adquirir información a la que no deberían tener acceso, explicó Best. Esto podría ser tan simple como cambiar un identificador único en la llamada HTTP para solicitar información de otra cuenta. Podrían surgir lagunas como ésta dentro de la lógica empresarial debido al desarrollo continuo y a la falta de supervisión de la seguridad.

Los ataques a API podrían provocar el robo de datos o la escalada de cuentas, lo que daría lugar a multas y pérdida de reputación. Pero los problemas de seguridad de las API pueden afectar a una empresa de diferentes maneras. Es decir, puede ralentizar el desarrollo: el 59% informó que ha tenido que ralentizar el lanzamiento de nuevas aplicaciones debido a problemas de seguridad de API.

Claramente, las API son una de las principales preocupaciones en materia de ciberseguridad en 2023. Entonces, ¿cuáles son algunas de las mejores prácticas que las organizaciones pueden aplicar para proteger su catálogo de API?

Sube de nivel la capa de protección API . Un método es hacer evolucionar las herramientas de protección API existentes. La mayoría de las organizaciones dependen de métodos tradicionales como firewalls de aplicaciones web (WAF), puertas de enlace API y análisis de archivos de registro. Sin embargo, sólo el 23% de los encuestados creía que sus enfoques de seguridad existentes son muy efectivos para prevenir ataques a API, según el informe.

Mapee su área de superficie y reduzca las API ocultas . Otra razón por la que prevalecen los ataques a API es la falta fundamental de conocimiento de su existencia. El equipo de Salt compartió que, al explorar un nuevo entorno de cliente, normalmente encuentran entre un 40% y un 80% de API no documentadas y previamente desconocidas. En otras palabras, podría haber hasta 8 veces más API desconocidas e indocumentadas que API conocidas dentro de un entorno determinado. Por lo tanto, es importante descubrir primero sus API internas para mapear su área de superficie.

No permita que la seguridad de la API dependa de las definiciones de las pruebas . Nos gusta pensar que la mayoría de los desarrolladores de API trabajan primero con las especificaciones y documentan cada nueva API. Pero, en realidad, las cosas suelen estar lejos de este ideal. "La prueba de esquema es un gran paso introductorio, pero solo roza la superficie de lo que será esa API y cómo la gente la manipulará", dijo Best. Áreas como las pruebas en tiempo de ejecución y las pruebas por contrato han surgido como estrategias para validar comportamientos del mundo real, tal vez debido a las inconsistencias entre la documentación y el comportamiento de producción.

La cantidad de API dentro de una organización promedio continúa creciendo. Un 59 % de los encuestados gestiona ahora más de 100 API. Sin embargo, su postura de seguridad aún está madurando. Los profesionales de la seguridad deben llegar a un acuerdo sobre cómo prevenir futuros ataques, así como cómo descubrir de manera eficiente puntos finales desconocidos, especialmente aquellos que manejan datos confidenciales. Afortunadamente, es posible que pronto más equipos tengan los recursos que necesitan para ejecutar la seguridad API. Debido a la gravedad de las amenazas a la seguridad de las API, casi la mitad (48 %) de los encuestados dijeron que la seguridad de las API se ha convertido en un debate de nivel directivo dentro de su organización.

El informe sobre el estado de la seguridad de API del primer trimestre de 2023 de Salt Lab recopiló datos del mundo real de su base de clientes y encuestó a 400 profesionales de seguridad y desarrolladores de API. Puede obtener una copia detrás de una puerta de correo electrónico aquí para obtener información completa.