Encuesta Akamai: Falta de controles específicos para API

La empresa de servicios en la nube y seguridad de la entrega de contenido Akamai, en colaboración con el Instituto de Capacitación en Ciberseguridad de Estados Unidos (SANS), publicó el martes los resultados de un nuevo estudio que examina los riesgos de seguridad más preocupantes relacionados con las APIs. El Informe de Seguridad de APIs 2023 de SANS revela que el principal riesgo es el de los ataques de phishing.

Encuesta Akamai: Falta de controles específicos para API - Seguridad | Imagen 1 Newsmatic

Índice de Contenido
  1. Los seis principales riesgos de seguridad de las APIs
  2. El aumento de las APIs dificulta los desafíos de seguridad
  3. Riesgo de día cero y mala configuración
  4. Cerrando la puerta a las malas configuraciones en la capa de aplicación
  5. Una correcta higiene de las APIs: inventarios, parches y evaluación de amenazas

Los seis principales riesgos de seguridad de las APIs

Cuando se les preguntó cuál era el mayor riesgo de seguridad de las APIs, los encuestados respondieron en su mayoría lo siguiente:

  1. Phishing para obtener credenciales reutilizables (38.3%).
  2. Ataques aprovechando parches faltantes (24%).
  3. Ataques aprovechando aplicaciones/APIs vulnerables (12%).
  4. Mala configuración de servidores/servicios por parte de administradores de sistemas (12%).
  5. Divulgación accidental de información sensible por parte de los usuarios (9.1%).
  6. Denegación de servicio (2.3%).

Figura A

Encuesta Akamai: Falta de controles específicos para API - Seguridad | Imagen 2 Newsmatic

El aumento de las APIs dificulta los desafíos de seguridad

Akamai informó a principios de año que 2022 batió récords en ataques a aplicaciones y APIs. Parte del problema es la gran cantidad de APIs utilizadas por las organizaciones, lo cual encaja perfectamente en el "riesgo de lo que no sabes que no sabes".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

John Pescatore, director de tendencias emergentes de seguridad en SANS y autor del estudio de 2023, señaló que la proliferación de las APIs es emblemática de cómo la complejidad es el enemigo de la seguridad. También explicó cómo la naturaleza misma de las aplicaciones distribuidas aumenta la superficie de ataque para los atacantes y la probabilidad de que las vulnerabilidades formen parte del código en producción.

Según el informe, una investigación de 451 Research citada por Akamai indica que la empresa promedio utiliza más de 15,000 APIs. Para entender la magnitud de los ataques, Akamai informó que el 8 de octubre de 2022 hubo 161 millones de ataques a APIs en todo el mundo.

El informe también señala que los encuestados planean cerrar las brechas de seguridad de las APIs en el futuro mediante:

  • Miradores de seguridad web (14%).
  • Características de seguridad de APIs en redes de entrega de contenido y equilibrio de carga (13%).
  • Cortafuegos de aplicaciones web (13%).
  • Pruebas de seguridad de aplicaciones dinámicas (13%).

Figura B

Encuesta Akamai: Falta de controles específicos para API - Seguridad | Imagen 3 Newsmatic

Riesgo de día cero y mala configuración

El estudio de Akamai sugiere que los encuestados otorgan poco peso al riesgo de aplicaciones mal configuradas y demasiado peso a los riesgos de día cero, según Rupesh Chokshi, gerente general de seguridad de aplicaciones en Akamai.

Cómo proteger tu computadora de los virus: métodos y consejos

"El plan de seguridad de las APIs de una organización debe incluir la construcción de APIs seguras y la configuración correcta de las aplicaciones. Al mismo tiempo, las organizaciones deben comprender los riesgos de día cero, como la forma en que las APIs se vuelven vulnerables y están expuestas a la explotación. La distinción es importante porque muestra que una seguridad sólida de las APIs debe tener en cuenta todos los aspectos del ciclo de vida de las APIs; de lo contrario, se pasarán por alto vulnerabilidades", dijo Chokshi.

Cerrando la puerta a las malas configuraciones en la capa de aplicación

Ory Segal, director de tecnología de Palo Alto Networks Prisma Cloud, coincidió en que la mala configuración en las aplicaciones modernas nativas de la nube representa un riesgo importante que con frecuencia es subestimado por las organizaciones.

"Desafortunadamente, muchos prestan atención a los riesgos de día cero y a las vulnerabilidades conocidas en paquetes de software de código abierto (es decir, vulnerabilidades y exposiciones comunes). Sin embargo, las estadísticas y la realidad muestran que los atacantes son más propensos a explotar las malas configuraciones en la capa de aplicación, exponiendo a las organizaciones a riesgos significativos y posibles brechas de datos: basta con mirar la cantidad de brechas recientes que involucran cubos de almacenamiento en la nube abiertos al público", dijo Segal.

Entre las recomendaciones de Segal están:

  • El escaneo de infraestructuras como código puede acelerar la gestión de configuraciones al brindar consistencia y reducir errores humanos.
  • La observabilidad de las APIs es esencial. Esto se puede lograr mediante la implementación de registros y monitoreo robustos.
  • Los registros detallados, incluyendo las llamadas a API, los tiempos de respuesta y los mensajes de error, pueden ofrecer información valiosa sobre el rendimiento y la seguridad de las APIs.
  • La detección automatizada de anomalías puede ayudar a identificar actividades inusuales que indican un posible ataque.
  • Para una seguridad más completa de las APIs, se recomienda adoptar el principio de privilegio mínimo, permitiendo a cada usuario solo los niveles mínimos de acceso necesarios para realizar sus tareas.
  • Las auditorías regulares y las pruebas automatizadas para problemas de seguridad comunes, como ataques basados en inyecciones, pueden garantizar la seguridad continua de las APIs.

Una correcta higiene de las APIs: inventarios, parches y evaluación de amenazas

Pescatore escribió que el plan de seguridad de las APIs de una organización debe incluir lo siguiente:

  • Inventario de APIs utilizadas y procesos que las utilizan.
  • Evaluación de vulnerabilidades de las APIs utilizadas.
  • Evaluación de amenazas de ataques activos que aprovechan esas vulnerabilidades.
  • Reducción de riesgos basada en el enfoque a las vulnerabilidades críticas de las APIs.

El 62% de los encuestados dijeron utilizar cortafuegos de aplicaciones web como parte de la mitigación de los riesgos de las APIs, y el 79% de los encuestados informaron que capacitan a su personal de desarrollo en seguridad de aplicaciones. Además, el 57% de los encuestados informaron una precisión de inventario de APIs entre el 25% y el 75%.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

"Los controles de higiene de seguridad, como autenticación sólida, inventario de activos, gestión de vulnerabilidades y control de cambios, deben abordar los problemas de seguridad de las APIs. La prevención y detección deben actualizarse para hacer frente a los ataques centrados en las APIs, y los servicios de infraestructura (como redes de entrega de contenido y filtrado de denegación de servicio) también deben ponerse a trabajar", escribió Pescatore.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Encuesta Akamai: Falta de controles específicos para API , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.