Se acerca la próxima gran violación de seguridad de API: aquí le mostramos cómo prepararse


Imagine la siguiente situación. La aplicación móvil del banco no funciona, lo que deja a los depositantes sin poder verificar los saldos de sus cuentas bancarias ni retirar dinero durante varios días. O una pareja joven invita a sus amigos a ver un partido de playoffs muy esperado, solo para descubrir que su servicio de transmisión está desconectado. No puedo ver el partido hoy.

Aunque estos escenarios son posibles, la mayoría de la gente no cree que realmente sucedan. Vivimos con la falsa suposición de que las aplicaciones que utilizamos todos los días son infalibles. Sin embargo, la realidad es que una interrupción importante debido a una violación de la seguridad es siempre una amenaza potencial y todos son vulnerables.

De hecho, se vislumbra en el horizonte una importante brecha de seguridad en la interfaz de programación de aplicaciones (API). ¿Por qué la combinación de la superficie de ataque en constante expansión, la creciente sofisticación de los piratas informáticos, el creciente número total de incidentes de seguridad y el hecho de que la seguridad de las API es difícil de dominar en su estado actual, los ataques son inevitables?

Esto ya está sucediendo en Australia. El año pasado, la empresa de telecomunicaciones Optus sufrió un ataque API que resultó en una violación que expuso los datos de 9,8 millones de clientes, incluidas licencias de conducir, pasaportes, nombres y números de teléfono.

Dependiendo de qué empresas sean el objetivo del próximo gran ataque a las API, el impacto podría ser de gran alcance y proporcionar una llamada de atención muy necesaria sobre la importancia de la seguridad de las API. Ante la probabilidad de un ataque en el horizonte, echemos un vistazo a por qué es difícil proteger las API en primer lugar y los pasos que las organizaciones pueden tomar para proteger su superficie de ataque.

Desafíos de seguridad de API

Si observa cualquier violación de seguridad que haya ocurrido en los últimos años (excluyendo los incidentes de ransomware), encontrará que es más probable que las API estén involucradas. Desde Pelton hasta T-Mobile y Twitter, las API de las empresas están sirviendo como una vía para que los piratas informáticos roben información personal.

A pesar de los importantes avances en seguridad a lo largo de los años, la seguridad de las API sigue siendo un desafío. Determinar quién debería tener la responsabilidad organizativa de la seguridad de las API dentro de una empresa puede resultar complicado. ¿El problema a resolver es un problema de desarrollador de API, un problema puramente de seguridad o un problema de producto?

Cuando la persona responsable de la seguridad de la API no está clara, es más probable que se produzcan errores, descuidos y ataques. Por ejemplo, la seguridad de las API no es tan simple como el ransomware. No hay debate sobre quién protege los puntos finales de una organización y siempre es trabajo del equipo de seguridad de TI. Sin embargo, es difícil determinar exactamente quién es responsable de la seguridad de la API.

A continuación se presentan dos pasos que las organizaciones pueden seguir para fortalecer la seguridad de las API.

Identificar campeones: Es posible que las empresas no pasen por el proceso de desarrollar una estrategia para resolver la seguridad de API hasta que experimenten de primera mano el dolor de una violación de API. A menudo, es una interrupción o un ataque lo que en última instancia impulsa a una organización a tomar medidas. Identificar un líder designado elimina la confusión sobre las responsabilidades y permite a las empresas ser más estratégicas y proactivas en su enfoque de la seguridad de API. API Security Champions ayuda a las organizaciones a evaluar su postura de seguridad actual e identificar áreas problemáticas y prioridades que deben abordarse antes de que ocurra un incidente. También puede educar a otros equipos dentro de su empresa sobre la importancia de una seguridad API sólida y desarrollar una estrategia en la que todos estén de acuerdo. Practique la evaluación continua: la protección de una API no ocurre simplemente en un momento dado, como cuando una organización intenta bloquear a un atacante. Ocurre cuando las organizaciones incorporan principios de seguridad a lo largo del ciclo de vida de la API desde el momento en que los desarrolladores comienzan a crear aplicaciones. Este es un proceso continuo que requiere atención y evaluación cuidadosas durante toda la vida. Esto incluye realizar periódicamente autoevaluaciones de los 10 principales aspectos de seguridad de API de OWASP, monitorear y analizar los patrones de tráfico de API para identificar y mitigar actividades sospechosas y realizar auditorías de seguridad y pruebas de penetración de Masu. Hacer esto de forma continua le permite identificar y responder a amenazas potenciales de manera oportuna.

Es probable que las violaciones de seguridad de API sigan aumentando, pero mientras tanto, las empresas pueden tomar medidas para proteger mejor su superficie de ataque. Al nombrar a alguien responsable de la seguridad de la API y realizar evaluaciones continuas para comprender los posibles problemas, su organización aumenta sus posibilidades de no ser víctima de un ciberataque.

Karl Mattsson, director de seguridad de la información, Noname Security



Fuente: https://www.scmagazine.com/perspective/the-next-big-api-security-breach-looms-heres-how-to-prepare