Las interfaces de programación de aplicaciones (API) han mejorado su estado desde el dominio de la herramienta de programación hasta la proverbial guinda del pastel para rematar un plan de negocios de digitalización. Las API permiten a los líderes empresariales habilitar flujos de trabajo a través de los límites de la organización, conectando sistemas comerciales en silos y proporcionando una forma controlada para que los socios comerciales externos accedan a datos y servicios.
La API y el código al que se accede a través de la API deben ser seguros. Cualquier vulnerabilidad debe corregirse tan pronto como se descubra; de lo contrario, cualquier aplicación que acceda a la API heredará esta vulnerabilidad de seguridad.
En el mundo del código abierto, GitHub introdujo recientemente un mecanismo de alerta automatizado para permitir a los desarrolladores abordar las vulnerabilidades en los componentes de código abierto que utiliza su código. Dichos mecanismos permiten que los consumidores de estos componentes reciban una alerta si el componente tiene un riesgo de seguridad y necesita parches o una solución alternativa. Esto es esencial si las organizaciones requieren auditabilidad de extremo a extremo que cubra una lista de materiales de software para todos los componentes de software utilizados en un producto terminado.
Abordar la seguridad de API es un subconjunto del desarrollo de software que es seguro por diseño, en el que existen procesos sólidos para minimizar los errores de codificación que conducen a vulnerabilidades y una canalización definida para resolver problemas de seguridad rápidamente. Pero el ritmo del desarrollo de software, y eso incluye el desarrollo y la modificación del código al que se accede a través de las API publicadas, puede provocar que el código inseguro se introduzca en los sistemas de producción.
En abril de 2022, Dynatrace encargó a Coleman Parkes que realizara una encuesta global de 1300 CISO en grandes organizaciones con más de 1000 empleados, que destacó los riesgos que enfrentan las organizaciones en el desarrollo y la implementación de códigos. La encuesta encontró que dos tercios (67 %) de los CISO dicen que los desarrolladores no siempre tienen tiempo para buscar vulnerabilidades en su código y aplicar una solución antes de pasar a producción. Solo el 27 % de los CISO encuestados dicen que están completamente seguros de que las aplicaciones han sido completamente probadas en busca de vulnerabilidades antes de entrar en producción.
Hablando de los hallazgos, Bernd Greifeneder, director de tecnología de Dynatrace, dice: “Siempre hay oportunidades para que las vulnerabilidades se deslicen más allá de los equipos de seguridad, independientemente de cuán sólidas puedan ser sus defensas. Tanto las aplicaciones nuevas como el software heredado estable son propensos a vulnerabilidades que se detectan de manera más confiable en producción”.
Las vulnerabilidades deben solucionarse rápidamente, pero los desarrolladores también deben mantener su código actualizado para aprovechar la última y mejor tecnología o para admitir nuevos requisitos del negocio. Entre las dificultades está que, a medida que cambia la funcionalidad a la que se accede a través de la API, la API real puede requerir cambios debido a los datos que requiere (es decir, los parámetros que un programador debe proporcionar a la API) y los datos que devuelve a la aplicación que accede a ella. puede ser necesario adaptarlo de acuerdo con la nueva funcionalidad.
El desafío para el desarrollador de API es que cualquier cambio puede dañar potencialmente cualquier aplicación que use la API.
Es posible que los equipos de desarrollo de software a menudo no se ocupen de respaldar la compatibilidad con versiones anteriores de las API, advierte Stephen Feloney, vicepresidente de productos, pruebas continuas en Perforce. “Es posible que una API que antes funcionaba no funcione como debería en una versión actualizada o completamente nueva”, dice.
Con cada nueva versión de una API, es posible que se requieran parámetros adicionales, los resultados pueden entregarse en diferentes formatos e incluso cuando los desarrolladores mantienen la compatibilidad con versiones anteriores, las API antiguas pueden seguir funcionando, pero solo por un tiempo limitado, dice Feloney, y agrega: “ Los equipos que consumen API pueden no estar al tanto de los nuevos cambios en las API hasta que ocurre una falla repentina”.
Si esto sucede, dice Feloney, los equipos de desarrollo de software deben rastrear la falla hasta su origen para encontrar la causa raíz del problema y verificar que la documentación esté actualizada, lo que puede ser un proceso costoso y que requiere mucho tiempo. Lo mismo se aplica cuando se actualiza un componente en el que se basa la API. Los equipos evitan fallas inesperadas de la API si rastrean las dependencias del código y los cambios de la API, dice Feloney.
Implicaciones de seguridad de la API
Cuando realizó una encuesta a 350 de sus clientes, Salt Security descubrió que la cantidad promedio de API por cliente había aumentado un 82 % durante el año pasado, de 89 en julio de 2021 a 162 en julio de 2022. Durante el mismo período, la API general el tráfico por cliente creció un 168 %, lo que indica que el uso de la API también se está disparando.
Es preocupante que la actividad de ataque haya seguido el mismo ritmo que este espectacular crecimiento del uso de la API y ahora representa el 2,1 % del tráfico total de la API para los clientes de Salt Security. Su encuesta también encontró que el tráfico de ataques API maliciosos aumentó un 117 % durante el año pasado, de un promedio de 12,22 millones de llamadas maliciosas por mes a un promedio de 26,46 millones de llamadas.
Más de la mitad (54 %) de los encuestados admitió que tuvo que retrasar la implementación de una nueva aplicación debido a un problema de seguridad de la API. Además, el creciente enfoque regulatorio en las fugas de datos confidenciales está afectando la rentabilidad y el público se está dando cuenta. De hecho, casi un tercio de los encuestados admite haber experimentado exposición de datos confidenciales o un incidente de privacidad dentro de sus API de producción durante el último año, un fuerte aumento con respecto al 19 % del año pasado.
Al comentar sobre los hallazgos, Nick Rago, CTO de campo en Salt Security, dice: “Muchos ataques de API en la actualidad son realizados por entidades autenticadas que tienen autoridad para usar la API que están atacando y lo están haciendo de una manera baja y lenta que evade cualquier tasa. limitar los controles de tráfico”.
Según Rago, las medidas de seguridad existentes empleadas por las puertas de enlace API, los firewalls de aplicaciones web y los proveedores de identidad no ofrecen una protección adecuada contra esta creciente superficie de ataque. “Para detener los ataques, las organizaciones necesitan una estrategia de seguridad diseñada específicamente para las API”, dice.
Las capacidades clave de una estrategia de seguridad de este tipo deben incluir visibilidad continua de la superficie de ataque, así como la capacidad de descubrir API nuevas y modificadas, comprender contextualmente los comportamientos de API para detectar y detener con precisión los ataques y abusos de API en tiempo de ejecución, y remediar las vulnerabilidades en la compilación. fase.
La mayoría de las organizaciones ahora han tomado la ola del uso de API para proporcionar conectividad flexible entre sistemas, lo que facilita a los desarrolladores comenzar y crear productos digitales. Pero asegurar y monitorear las API es un paso crucial para hacer operativas las API.
Brian Otten, vicepresidente de la división de catalizadores de transformación digital de Axway, también cree que las empresas deben gestionar el ciclo de vida de sus API. “La entrega de API tiene un ciclo de vida distinto que incluye, entre otros, el monitoreo unificado de las API desde una perspectiva de seguridad, disponibilidad y rendimiento”, dice. “Además, las capacidades se centraron en catalogar y administrar las API en el día a día junto con los controles relacionados con los estándares, el gobierno y las pruebas”.