Los analistas de seguridad dicen que la autenticación multifactorial es una necesidad absoluta para cualquier empresa que ejecute múltiples interfaces.
Muchas de las infracciones más grandes en estos días involucran API, que ayudan a potenciar casi todas sus aplicaciones y plataformas favoritas.
Las API han facilitado todas nuestras vidas al brindar a las empresas una manera fácil de compartir información y datos entre sí. Los mejores ejemplos son aplicaciones de viaje compartido como Uber y Lyft.
Se requieren docenas de API para brindarle la experiencia que exige como cliente, incluidas las herramientas que muestran su perfil, conectan la aplicación a su cuenta bancaria, identifican su ubicación, encuentran la ubicación de los conductores cercanos y determinan las rutas.
"Cualquier servicio en línea o aplicación móvil en la que tenga que ingresar el número de su tarjeta de crédito puede verse afectado por el abuso de la API. Lo más común que ve ahora es el relleno de credenciales y el abuso de la lógica comercial de la aplicación, como verificar las direcciones de correo electrónico, el crédito números de tarjeta o tarjetas de regalo ", dijo Zane Lackey, cofundador y CTO de la empresa de ciberseguridad Signal Sciences.
VER: Implementación de DevOps: una guía para profesionales de TI (PDF gratuito) (TechRepublic)
Gartner ya ha publicado predicciones preocupantes para el futuro de la seguridad API, escribiendo en un informe reciente que para 2022, abuso de API se convertirá en el ataque más común visto por los equipos de seguridad.
Gartner agregó en otro estudio que en 2019, el 40% de las aplicaciones habilitadas para la web tendrán más superficie de ataque en forma de API expuestas en lugar de la interfaz de usuario. Ese número alcanzará el 90% en 2021 De acuerdo a sus predicciones.
Con todas estas API diferentes que envían y reciben tanta información valiosa, existe el riesgo. Algunas de las compañías más grandes del mundo ahora manejan cientos de API y confíe en pequeñas empresas de terceros para proporcionar funciones críticas para su negocio en línea.
Etay Maor, director de seguridad de IntSights, dijo que cuando profundizas en muchas infracciones, la causa principal a menudo apunta a que los actores maliciosos abusan o acceden a las API.
"Hubo una violación famosa el año pasado en el IRS, donde los atacantes usaron una base de datos y estaban descargando información de los contribuyentes. Uno de los nuevos sistemas lanzados en 2014 donde los usuarios finales podían descargar toda su información y eso es exactamente lo que hicieron los delincuentes a través del API ", dijo Maor.
"Se descargó información de 700,000 contribuyentes. Algunos de los ataques sobre los que lees, si profundizas, descubres que fue un abuso de la API, una combinación de API vulnerables y alguien que obtuvo una base de datos de usuarios y luego comenzó a atacar esa API ".
TechRepublic habló con expertos en seguridad e investigadores sobre cuatro pasos que las empresas pueden tomar para proteger sus API.
1. Administrar autenticaciones
Más allá de las medidas de seguridad básicas que toda organización debería tener, una clave para proteger las API es asegurarse de saber quién está usando qué y quién tiene acceso a qué.
Uno de los mayores problemas que enfrentan las empresas es el relleno de credenciales, donde los delincuentes usan bases de datos de correos electrónicos y contraseñas robadas para bombardear las API con miles de solicitudes falsas.
Lackey dijo que a medida que más compañías se mueven a las aplicaciones web como su principal modo de interacción con los clientes, los delincuentes se están volcando para atacar las API que impulsan las aplicaciones móviles.
"Los atacantes ahora están comprando grandes listas de credenciales robadas y reintentando a aquellos contra todos los servicios que puedan imaginar", dijo Lackey. "Una vez que descubran las cuentas, atacarán la lógica comercial de la aplicación. Su objetivo es 'Quiero iniciar sesión en la cuenta y actualizar la dirección de correo de la cuenta del cliente que acabo de robar para que se entreguen todos los productos a mi dirección postal ".
Para protegerse contra este tipo de relleno de credenciales, las empresas deben usar una autenticación multifactor estricta, según Ben Waugh, director de seguridad de la empresa de aplicaciones web de salud Redox.
Redox ayuda a las instituciones de salud a usar tecnología, como API, para mejorar los sistemas y compartir información. Waugh dijo que para las industrias de alto riesgo como el cuidado de la salud, la autenticación multifactorial era una necesidad absoluta y las empresas deberían ir aún más lejos al obligar a las personas a usar contraseñas largas y complicadas en lugar de las que se les ocurran por su cuenta.
Pero debido a los avances en el tipo de tecnología que usan los ciberdelincuentes, incluso usar números de teléfono como una capa adicional de seguridad no fue suficiente.
"Lo que veo más y más, particularmente para sitios de alto riesgo, es el intercambio de SIM cada vez más, lo que significa que la gente realmente necesita alejarse de la autenticación multifactor basada en SMS porque para objetivos de alto riesgo, simplemente ya no es efectiva, "Dijo Waugh.
El proyecto de seguridad de aplicaciones web abiertas lanzó recientemente un informe de API Security Top 10 que dichos mecanismos de autenticación "a menudo se implementan incorrectamente, lo que permite a los atacantes comprometer los tokens de autenticación o explotar fallas de implementación para asumir las identidades de otros usuarios de manera temporal o permanente.
"Comprometer la capacidad de un sistema para identificar al cliente / usuario, compromete la seguridad de la API en general", agregó el informe del Proyecto de Seguridad de la Aplicación Web Abierta.
2. Comprobar autorizaciones
Ahora que muchas compañías administran cientos de API, puede ser difícil hacer un seguimiento de quién o qué está autorizado para usar o acceder a cierta información.
Waugh dijo que las empresas deberían preocuparse por cómo se transmite la información con las API. En general, es más difícil detectar ataques a las API porque cada solicitud de API es difícil de diferenciar de las demás y los ciberdelincuentes señalan sistemas abrumadores con miles de intentos de ataques.
"Los ataques de API tienden a estar mucho más bien dirigidos. Seguirán las especificaciones de API pero, en última instancia, sigue siendo el mismo tipo de ataque que cualquier otra cosa. Todavía está intentando acceder a algún otro recurso indirecto, por lo que debe asegurarse de que verificar adecuadamente que cada solicitud esté autorizada para acceder a un recurso particular que está solicitando ", dijo Waugh.
"Podrían estar intentando atacar a algunos microservidores posteriores o algún otro servicio posterior mediante un ataque de inyección", agregó.
"La mayoría de las personas tienen API en una arquitectura de microservidor, por lo que pasan las solicitudes de un servicio a otro. Realmente debería pensar y comprender qué servicio es responsable de qué cuando se trata de desinfectar esa entrada y manejarla de manera segura hasta el final esa cadena. Muchas personas tienden a suponer que alguna otra parte del sistema está haciendo algo ".
Las empresas deben tener una comprensión clara de quién está a cargo de qué y evitar suponer que algo más lo ha autorizado.
En muchos casos, las empresas hacen la parte de autenticación pero no logran manejar la autorización necesaria para protegerse, dijo Waugh.
"Ellos dirán, 'Sí, esta es una clave API válida, por lo tanto, debe ser una solicitud válida' y luego algún servicio posterior manejará la solicitud del recurso en sí y no verificará realmente quién es el actor que solicita este recurso y Asumirán que ese primer front end hizo la autorización ", dijo.
El informe de la OEA agregó que "las comprobaciones de autorización a nivel de objeto deben considerarse en cada función que acceda a una fuente de datos utilizando la entrada del usuario".
3. Organice la configuración del equipo de seguridad
Todos los analistas mencionaron la necesidad de que los equipos de seguridad se establezcan de manera organizada que involucre a toda la empresa.
Lackey, quien pasó años como CISO en el sitio de comercio electrónico Etsy, dijo que muchos de los problemas de seguridad de API que las compañías suelen originar de la separación entre los equipos de desarrollo y los equipos de seguridad.
Tradicionalmente, los equipos de seguridad se centraron principalmente en la infraestructura o la capa de red y, en general, se mantuvieron alejados de las aplicaciones, dijo. Pero la visibilidad de todo el sistema ahora es una necesidad para todos los equipos de seguridad.
"Esto es lo que aprendimos muy dolorosamente en Etsy. Si estás pasando por una transformación digital o DevOps o un viaje en la nube, la única forma de escalar y defenderte de manera efectiva es obtener visibilidad que no solo uno de esos grupos puede usar, sino en realidad todos ellos ".
"Es necesario tener visibilidad de cómo las personas están tratando de abusar de esas aplicaciones, pero debe hacerse de manera que los equipos de desarrollo, los equipos de DevOps y los equipos de seguridad puedan usarlo", dijo Lackey.
Los sistemas de ciberseguridad heredados requerían funcionarios de seguridad altamente capacitados para administrarlos, pero las herramientas más modernas aprovechan la IA y otras tecnologías para aligerar la carga de los defensores.
Shadow IT es un problema importante para las empresas, ya que los departamentos se embarcan en sus propios proyectos y permiten servicios externos en el sistema de una organización. Waugh señaló que en el pasado, los departamentos de TI manejarían todas las cuentas externas y las revisarían por seguridad, pero esos días ya pasaron.
"Ya no existe la TI. Todo nuestro negocio es de lo que somos responsables y todo nuestro negocio trabaja en estrecha colaboración con el equipo de seguridad de TI en todo lo que terminemos implementando o usando", dijo Waugh.
4. Examinar a terceros
Incluso cuando las empresas hacen todo lo correcto y se aseguran de que todo esté protegido, aún pueden correr el riesgo de violaciones o ataques gracias a servicios de terceros.
Waugh dijo que una buena parte de las violaciones que ve no son ataques directos al sistema de una empresa, sino un compromiso de un tercero que tiene acceso a ese sistema para procesar datos.
"Como industria, hacemos un trabajo realmente pobre de entender el riesgo cuando se trata de terceros. Por mucho que trabajemos para mantenernos seguros, tenemos una comprensión muy limitada de los terceros que tenemos ahí fuera. Cómo nos aseguramos ¿aquellos?" él dijo.
Las empresas deben tener un conocimiento profundo de los socios externos que acceden a sus datos, enviándoles cuestionarios de seguridad, solicitudes de certificaciones o informes exigentes. Pero incluso esto, dijo Waugh, aún puede dejar a las empresas vulnerables a los ataques.
El año pasado, la base de datos de identificación nacional de la India, que tiene información biométrica y de identidad como huellas dactilares y escaneos de iris en más de 1,1 mil millones de ciudadanos indios registrados, fue expuesto a través de una API vulnerable.
Según ZachNet Ztanet Whittaker, un proveedor de servicios públicos, Indane, tenía acceso a la base de datos de Aadhaar a través de una API, en el que se basa la empresa para verificar el estado de un cliente y verificar su identidad.
La compañía no aseguró la API y, como resultado, cualquiera tenía acceso a datos privados de cada titular de Aadhaar, incluso aquellos que no eran clientes de esa utilidad en particular.
Según un investigador, una URL en el dominio de la compañía era el punto final de la API y no tenía controles de acceso. El investigador también descubrió que la API no había establecido límites de velocidad, lo que significa que los ciberdelincuentes pudieron superar miles de millones de permutaciones hasta que tuvieron éxito.
Ver también
"data-credit =" NicoElNino, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow "> NicoElNino, Getty Images / iStockphoto
