Exponer APIs es un riesgo. Es importante que se pueda generar conciencia sobre la seguridad y los ataques para las APIs (sobre todo cuando van moviéndose a la nube).

En muchas ocasiones olvidamos la seguridad y aquí te comentare algunas consideraciones.

Sin estándares de cifrado fuertes y una autorización no autenticada e insuficiente, las APIs pueden exponer a cualquier entidad a riesgos de alto impacto.

Las APIs de acceso directo a datos también facilitan que los actores malintencionados extraigan información potencialmente confidencial. Por ejemplo, un pirata informático (hacker) podría crear una llamada a las APIs que extraiga datos clasificados porque las APIs no están configuradas para bloquear dicha solicitud. O puede que no tenga límites en las llamadas a la API de recuperación de datos, por lo que un pirata informático podría abusar de una API para extraer registros sin ser cuestionado.

Un informe reciente de Gartner sobre la seguridad de la API destacó la amenaza inminente. Las API expuestas hoy representan el 40% del área de superficie de ataque, pero para 2021, Gartner predijo que el 90% de las aplicaciones habilitadas para la web tendrán más área de superficie para el ataque en forma de API expuestas que la interfaz de usuario. El grupo de investigación predijo además que para 2022, los abusos de API pasarán de ser un vector de ataque poco frecuente a convertirse en el más frecuente, lo que dará como resultado violaciones de datos para aplicaciones web empresariales. + detalles en: Informe Gartner

¿Por qué se proyecta que las API sean una fuente de riesgo?

La nube es un factor significativo aquí. Si bien cualquier API puede ser insegura si no se administra adecuadamente, al menos en las instalaciones existe un proceso más metódico y rastreable para desarrollar e implementar una API.

En la nube, los desarrolladores pueden lanzar rápidamente API en plataformas en la nube utilizando arquitecturas efímeras sin servidor, contenedores o microservicios.

Esto crea dos problemas de seguridad. Una es la complejidad inherente del entorno, que puede dificultar determinar qué tan segura es una API determinada en un momento dado. Además, los administradores del sistema pueden mover los recursos hacia arriba y hacia abajo tan rápidamente que resulta difícil hacer un seguimiento de las API alojadas en la nube. Además, un desarrollador podría crear una API sin decírselo a nadie, ponerla en la nube y exponer los datos a accesos no autorizados en el proceso (hay un termino que se le denomina API de sombra).

El ritmo de desarrollo también causa problemas a las API. El riesgo de que una API se implemente sin los controles de acceso o monitoreo adecuados se vuelve bastante alto a medida que las agencias cambian a DevOps y las prácticas de integración continua / implementación continua (CI / CD). Además, los productos comerciales de software con frecuencia vienen con API listas para usar. Un administrador que instala el software podría dejar inadvertidamente API abiertas a acceso externo no autorizado.

Es necesario proteger a las APIs durante todo el ciclo de vida y debe de ser un proceso continuo; es necesario monitorear su comportamiento constantemente(no solo para las auditorias). La mejor practica es poder realizar un análisis riguroso de la vulnerabilidad con medidas correctivas para abordar los problemas que podrían conducir a una violación de datos.

 

Facebooktwitterlinkedin