El 91% de los profesionales empresariales experimentaron un incidente de seguridad de API en 2020


«La puerta de entrada directa a los datos y activos más críticos de las organizaciones» es un objetivo atractivo para los piratas informáticos, según encontró Salt Stability en un nuevo informe.

concepto de ciberseguridad

Imagen: iStock / sdecoret

La empresa de ciberseguridad Salt Safety ha elaborado un nuevo informe centrado en la seguridad de las API, que ayudan a respaldar la mayoría de las aplicaciones que se utilizan a lo largo del día.

Los expertos llevan mucho tiempo preocupados por los riesgos de seguridad asociados con el uso generalizado de API, con Gartner escribiendo en un informe que para 2022, el abuso de API se convertirá en el ataque más común visto por los equipos de seguridad. En un estudio de 2019, Gartner descubrió que el 40% de las aplicaciones habilitadas para la world wide web tendrán más superficie de ataque en forma de API expuestas en lugar de la interfaz de usuario y predijo que la cifra aumentaría al 90% para 2021.

Salt Security «El estado de la seguridad de las API: primer trimestre de 2021«confirma muchos de esos temores, al encontrar que de los casi 200 funcionarios de seguridad empresarial encuestados, el 91% experimentó un incidente de seguridad API el año pasado.

VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)

Dentro de los datos de los propios clientes de Salt, los investigadores encontraron que el 56% de los clientes enfrentaba entre 10 y 55 ataques por mes, mientras que el 22% manejaba entre 51% y 200%.

«En la economía digital actual, las API son la puerta de entrada directa a los datos y activos más críticos de las organizaciones. Construidas para permitir a los clientes y socios, estas API crean riesgos al proporcionar también un camino a seguir por los atacantes», dijo Roey Eliyahu, CEO y co- fundador de Salt Stability.

«A medida que las API han crecido en volumen y funcionalidad, se han convertido en objetivos cada vez más atractivos para los piratas informáticos, aumentando el número y la sofisticación de los ataques de API».

El estudio presenta información obtenida de una encuesta de aproximadamente 200 CIO o personas involucradas en ciberseguridad y DevOps, así como datos anónimos de los clientes de Salt Protection.

En standard, Salt descubrió que el año pasado, el volumen de llamadas API mensuales promedio por cliente creció de 272 millones de llamadas por mes a 410 millones para fines de 2020, principalmente a través de alguna combinación de nuevas funciones en API existentes, nuevos puntos finales de API y nuevas API.

Pero con ese aumento en las llamadas vino un aumento correspondiente en el tráfico malicioso dirigido a las API, con Salt Protection midiendo un aumento del 211% en el tráfico malicioso en 2020. Si bien es pequeño, el porcentaje de tráfico malicioso pasó del .45% del tráfico API de todos los clientes a 1,40%.

«La gran mayoría de las organizaciones están experimentando problemas de seguridad API, pocas tienen las herramientas necesarias para hacer frente y la mayoría ha tenido que retrasar la innovación como resultado», escribieron los investigadores de Salt Security en el estudio.

Falta de estrategia de seguridad

De manera alarmante, la encuesta encontró que más del 25% de las organizaciones que ejecutan API de producción no tienen ninguna estrategia de seguridad de API.

Estas API de producción fueron de individual preocupación considerando que más de la mitad de todos los encuestados encontraron una vulnerabilidad en ellas específicamente, y el informe señala que este tipo de brechas de seguridad a menudo se dejan hasta que un atacante intenta exfiltrar datos y hacer un mal uso de las cuentas.

Las preocupaciones sobre la seguridad de las API también han sido una razón por la que las organizaciones han retrasado la implementación de nuevas aplicaciones, según el 66% de los encuestados. La seguridad de la API es la principal preocupación de casi la mitad de los encuestados.

Durante los últimos 12 meses, el 54% de los encuestados dijo haber encontrado vulnerabilidades en las API de producción y otro 48% dijo que tenía problemas de autenticación. Otros citaron problemas con bots, raspado y denegación de servicio.

El estudio señala que todos los clientes de la compañía de seguridad han visto ataques que pudieron superar los WAF y las puertas de enlace API, pero más de la mitad de los encuestados en la encuesta dijeron que usan alertas de WAF o puertas de enlace API para identificar ataques API.

Casi el 60% de los encuestados también dijo que united states of america archivos de registro para identificar ataques, pero una décima parte de los encuestados dijo que no tenía forma de identificar ningún ataque de API. Casi el 80% clasificó sus sistemas actuales de identificación de ataques API como sólo «algo eficaces».

«La mala noticia es que un porcentaje tan alto de encuestados que ejecutan API de producción carecen de cualquier tipo de estrategia de seguridad de API», escribieron los investigadores en el estudio. «La buena noticia es que dos tercios de los encuestados dicen que sus equipos de seguridad se centran en las 10 amenazas principales de seguridad de la API de OWASP. El enigma es cómo muchas organizaciones no han traducido el enfoque de las 10 principales de la API de OWASP en una estrategia de seguridad de API. »

Problemas con los inventarios y las API «zombies»

Las organizaciones también tienen problemas para crear inventarios de sus API, según el estudio. El informe dijo que la documentación de la API a menudo falta, está incompleta o es inexacta y encontró que el 83% de los encuestados «carece de confianza en su inventario de API». Entre los clientes de Salt Protection, period común encontrar ocho veces la cantidad de API que la empresa tenía registrada.

Postman y Swagger fueron los mecanismos más populares utilizados para inventariar las API, con el 42% de los encuestados diciendo que usaban Postman mientras que el 41% usaba Swagger. Otro 28% dijo que usaba OpenAPI Generator.

Debido a las preocupaciones expresadas sobre los inventarios de API, existía el temor correspondiente a las API obsoletas y «zombis». Casi el 60% citó esto como un riesgo relacionado con la seguridad de la API que les preocupaba, además de los temores de apropiación o uso indebido de cuentas.

Más del 60% de los encuestados dijo que una de las herramientas más valiosas que buscan es la capacidad de identificar qué API exponen información de identificación particular y la segunda más well-liked fue la capacidad de detener los ataques directamente.

Casi el 85% de los profesionales que respondieron la encuesta dijeron que no tenían confianza en saber qué API exponían información de identificación particular.

«Casi una cuarta parte de las organizaciones admiten que no tienen forma de saber qué API exponen la PII, un resultado directo de un inventario de API incompleto y documentación inexacta. La mayoría de las organizaciones dependen de la documentación creada por el desarrollador o de las puertas de enlace de API para comprender la exposición de la PII y claramente carecen de confianza en que estos enfoques sean completos y brinden suficientes detalles «, dijo el estudio.

«La mayoría de las organizaciones con puertas de enlace de API tienen múltiples plataformas, a menudo de una combinación de proveedores, y no tienen una gestión de API consolidada, lo que dificulta obtener una vista definitiva de todas las API de producción».

La exploración de Salt Security de sus clientes encontró que el 91% de las API exponen algún tipo de datos sensibles, que van desde información básica de la cuenta hasta información de identificación personal. En la encuesta, el 22% dijo que no tenía plan de qué API exponían información de identificación individual y el 57% dijo que confía en la documentación que proviene de los desarrolladores.

Cuando se le preguntó quién es responsable de monitorear la seguridad de las API, el 25% dijo que era el trabajo de los desarrolladores de la ballena empresarial, el 21% dijo que estaba bajo el management del equipo de DevSecOps y el 14% dijo que tenía un equipo de API.

«Compilamos el primer Informe sobre el estado de la seguridad de las API de la industria para comprender mejor la experiencia empresarial de las API en la actualidad», agregó Eliyahu. «El estudio deja en claro que los enfoques actuales de las empresas para proteger las API tienen brechas que las dejan en riesgo. También destaca cómo las organizaciones necesitan nuevos enfoques para la seguridad de las API si quieren seguir innovando de forma segura y seguir siendo competitivas».

Ver también



Enlace a la noticia authentic