Repensar el software en la jerarquía organizativa
Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y sindicado aquí.
Todo el mundo ha visto en algún momento de su carrera uno de esos organigramas que definen quién depende de quién en una organización. A veces se denominan simplemente organigramas y son una herramienta útil para que la gente sepa quién trabaja para ellos y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de codificación puede depender del director de desarrollo de productos, que a su vez depende del vicepresidente de innovación. Y luego las líneas de autoridad continúan hacia arriba y hacia abajo en la estructura de la empresa. ¿Quién no ha mirado uno de esos organigramas para intentar encontrar su pequeño bloque personal en algún lugar?
No es de extrañar que a los humanos nos fascinen tanto la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo y cada uno sabía cuál era su lugar y su responsabilidad a la hora de mantener unida, viva y próspera a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una prolongación de aquellos tiempos y de aquel antiguo éxito.
Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa o de otros factores. En su mayor parte, todos los componentes de esos organigramas son humanos o grupos de humanos. Aún no hemos llegado al punto en que las máquinas puedan supervisar a los humanos, así que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizativa?
Por supuesto, no estoy sugiriendo que añadamos software a los organigramas de nuestras empresas. Nadie quiere tener una aplicación como jefe. ¿Cómo le pedirías un aumento? Pero el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas hoy en día no es muy distinto del peligroso entorno al que se enfrentaban nuestros antiguos parientes humanos hace mucho tiempo. Ayudando a definir las responsabilidades de nuestras aplicaciones y programas dentro de una jerarquía estricta, y aplicando esas políticas con el menor privilegio, podemos asegurarnos de que nuestras aplicaciones y programas también sobrevivan y prosperen a pesar del devastador y duro panorama de amenazas que se les presenta.
Los ataques a aplicaciones y programas informáticos alcanzan su máximo histórico
Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante comprender primero el panorama de las amenazas. Hoy en día, los atacantes, y los bots y el software automatizado que trabajan para ellos, buscan constantemente cualquier fallo en las defensas que puedan aprovechar. Y aunque se siguen lanzando ataques de phishing y de otro tipo contra humanos, los hackers más hábiles han trasladado la mayoría de sus esfuerzos a atacar software.
Y aunque todo el software está en el punto de mira, los ataques más exitosos se están realizando contra las interfaces de programación de aplicaciones, o API. Estas sencillas API son pequeñas piezas de software utilizadas por los desarrolladores para realizar una serie de pequeñas pero importantes tareas para sus aplicaciones y programas. A menudo son flexibles y únicas, y a veces incluso se crean sobre la marcha, según las necesidades del proceso de desarrollo.
Las API son ciertamente flexibles, pero también suelen tener demasiados permisos para sus funciones. Los desarrolladores tienden a darles muchos permisos para que puedan, por ejemplo, seguir funcionando aunque el programa que están ayudando a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, entonces obtienen mucho más que los derechos para acceder, por ejemplo, a una parte de una base de datos específica. Pueden incluso obtener derechos de casi administrador para toda una red.
No es de extrañar que varias empresas de investigación de seguridad afirmen que la inmensa mayoría de los ataques actuales de robo de credenciales se realizan contra software como las API. Akamai cifra esa cifra en el 75% del total, mientras que Gartner también afirma que las vulnerabilidades que afectan a las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra que los ataques contra las API han aumentado casi un 700% en comparación con el año pasado.
Creación de un organigrama para software
Una de las formas en que las organizaciones están luchando contra las amenazas de robo de credenciales es aplicando el mínimo privilegio o incluso la confianza cero dentro de sus redes. Esto limita a los usuarios a recibir permisos apenas suficientes para realizar su trabajo o tareas. Ese acceso suele restringirse aún más por factores como la hora y la ubicación. De esta forma, incluso si un ataque de robo de credenciales tiene éxito, no servirá de mucho al atacante, ya que sólo tendrá permiso para realizar funciones limitadas durante un breve periodo de tiempo.
El mínimo privilegio es una buena defensa, pero normalmente sólo se aplica a los usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados, y a menudo no están tan reguladas. Esta es una de las razones por las que un control de acceso defectuoso es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de los ciberataques.
Es fácil decir que la solución a este problema crítico es simplemente aplicar el mínimo privilegio al software. Pero es mucho más difícil de aplicar. En primer lugar, hay que concienciar a los desarrolladores de los peligros. Y luego, de cara al futuro, las API y demás software deben situarse oficialmente, o al menos preverse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si una API debe obtener datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay razón para que también pueda conectarse con los sistemas de nóminas o finanzas. En el organigrama del software, no habría líneas directas, ni siquiera discontinuas, que conectaran esos sistemas.
Probablemente sea poco realista para los desarrolladores crear un organigrama que muestre los miles o incluso millones de APIs que operan en su organización. Pero ser conscientes del peligro que suponen y restringir sus permisos a lo estrictamente necesario para realizar su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta estos días. Comienza con la concienciación y termina tratando las API y el software con el mismo escrutinio que a los usuarios humanos.
¿Quiere elevar su equipo de desarrollo? Navegue por los problemas de seguridad de las API y mucho más con nuestro ágil learning platform herramientas de seguridad ágiles y orientadas al desarrollador.
Ayudando a definir las responsabilidades de nuestras aplicaciones y software dentro de una jerarquía estricta, y aplicando esas políticas con el mínimo privilegio, podemos asegurarnos de que nuestras aplicaciones y software también sobreviven y prosperan a pesar del panorama de amenazas que se cierne sobre ellos.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y sindicado aquí.
Todo el mundo ha visto en algún momento de su carrera uno de esos organigramas que definen quién depende de quién en una organización. A veces se denominan simplemente organigramas y son una herramienta útil para que la gente sepa quién trabaja para ellos y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de codificación puede depender del director de desarrollo de productos, que a su vez depende del vicepresidente de innovación. Y luego las líneas de autoridad continúan hacia arriba y hacia abajo en la estructura de la empresa. ¿Quién no ha mirado uno de esos organigramas para intentar encontrar su pequeño bloque personal en algún lugar?
No es de extrañar que a los humanos nos fascinen tanto la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo y cada uno sabía cuál era su lugar y su responsabilidad a la hora de mantener unida, viva y próspera a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una prolongación de aquellos tiempos y de aquel antiguo éxito.
Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa o de otros factores. En su mayor parte, todos los componentes de esos organigramas son humanos o grupos de humanos. Aún no hemos llegado al punto en que las máquinas puedan supervisar a los humanos, así que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizativa?
Por supuesto, no estoy sugiriendo que añadamos software a los organigramas de nuestras empresas. Nadie quiere tener una aplicación como jefe. ¿Cómo le pedirías un aumento? Pero el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas hoy en día no es muy distinto del peligroso entorno al que se enfrentaban nuestros antiguos parientes humanos hace mucho tiempo. Ayudando a definir las responsabilidades de nuestras aplicaciones y programas dentro de una jerarquía estricta, y aplicando esas políticas con el menor privilegio, podemos asegurarnos de que nuestras aplicaciones y programas también sobrevivan y prosperen a pesar del devastador y duro panorama de amenazas que se les presenta.
Los ataques a aplicaciones y programas informáticos alcanzan su máximo histórico
Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante comprender primero el panorama de las amenazas. Hoy en día, los atacantes, y los bots y el software automatizado que trabajan para ellos, buscan constantemente cualquier fallo en las defensas que puedan aprovechar. Y aunque se siguen lanzando ataques de phishing y de otro tipo contra humanos, los hackers más hábiles han trasladado la mayoría de sus esfuerzos a atacar software.
Y aunque todo el software está en el punto de mira, los ataques más exitosos se están realizando contra las interfaces de programación de aplicaciones, o API. Estas sencillas API son pequeñas piezas de software utilizadas por los desarrolladores para realizar una serie de pequeñas pero importantes tareas para sus aplicaciones y programas. A menudo son flexibles y únicas, y a veces incluso se crean sobre la marcha, según las necesidades del proceso de desarrollo.
Las API son ciertamente flexibles, pero también suelen tener demasiados permisos para sus funciones. Los desarrolladores tienden a darles muchos permisos para que puedan, por ejemplo, seguir funcionando aunque el programa que están ayudando a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, entonces obtienen mucho más que los derechos para acceder, por ejemplo, a una parte de una base de datos específica. Pueden incluso obtener derechos de casi administrador para toda una red.
No es de extrañar que varias empresas de investigación de seguridad afirmen que la inmensa mayoría de los ataques actuales de robo de credenciales se realizan contra software como las API. Akamai cifra esa cifra en el 75% del total, mientras que Gartner también afirma que las vulnerabilidades que afectan a las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra que los ataques contra las API han aumentado casi un 700% en comparación con el año pasado.
Creación de un organigrama para software
Una de las formas en que las organizaciones están luchando contra las amenazas de robo de credenciales es aplicando el mínimo privilegio o incluso la confianza cero dentro de sus redes. Esto limita a los usuarios a recibir permisos apenas suficientes para realizar su trabajo o tareas. Ese acceso suele restringirse aún más por factores como la hora y la ubicación. De esta forma, incluso si un ataque de robo de credenciales tiene éxito, no servirá de mucho al atacante, ya que sólo tendrá permiso para realizar funciones limitadas durante un breve periodo de tiempo.
El mínimo privilegio es una buena defensa, pero normalmente sólo se aplica a los usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados, y a menudo no están tan reguladas. Esta es una de las razones por las que un control de acceso defectuoso es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de los ciberataques.
Es fácil decir que la solución a este problema crítico es simplemente aplicar el mínimo privilegio al software. Pero es mucho más difícil de aplicar. En primer lugar, hay que concienciar a los desarrolladores de los peligros. Y luego, de cara al futuro, las API y demás software deben situarse oficialmente, o al menos preverse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si una API debe obtener datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay razón para que también pueda conectarse con los sistemas de nóminas o finanzas. En el organigrama del software, no habría líneas directas, ni siquiera discontinuas, que conectaran esos sistemas.
Probablemente sea poco realista para los desarrolladores crear un organigrama que muestre los miles o incluso millones de APIs que operan en su organización. Pero ser conscientes del peligro que suponen y restringir sus permisos a lo estrictamente necesario para realizar su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta estos días. Comienza con la concienciación y termina tratando las API y el software con el mismo escrutinio que a los usuarios humanos.
¿Quiere elevar su equipo de desarrollo? Navegue por los problemas de seguridad de las API y mucho más con nuestro ágil learning platform herramientas de seguridad ágiles y orientadas al desarrollador.
Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y sindicado aquí.
Todo el mundo ha visto en algún momento de su carrera uno de esos organigramas que definen quién depende de quién en una organización. A veces se denominan simplemente organigramas y son una herramienta útil para que la gente sepa quién trabaja para ellos y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de codificación puede depender del director de desarrollo de productos, que a su vez depende del vicepresidente de innovación. Y luego las líneas de autoridad continúan hacia arriba y hacia abajo en la estructura de la empresa. ¿Quién no ha mirado uno de esos organigramas para intentar encontrar su pequeño bloque personal en algún lugar?
No es de extrañar que a los humanos nos fascinen tanto la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo y cada uno sabía cuál era su lugar y su responsabilidad a la hora de mantener unida, viva y próspera a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una prolongación de aquellos tiempos y de aquel antiguo éxito.
Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa o de otros factores. En su mayor parte, todos los componentes de esos organigramas son humanos o grupos de humanos. Aún no hemos llegado al punto en que las máquinas puedan supervisar a los humanos, así que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizativa?
Por supuesto, no estoy sugiriendo que añadamos software a los organigramas de nuestras empresas. Nadie quiere tener una aplicación como jefe. ¿Cómo le pedirías un aumento? Pero el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas hoy en día no es muy distinto del peligroso entorno al que se enfrentaban nuestros antiguos parientes humanos hace mucho tiempo. Ayudando a definir las responsabilidades de nuestras aplicaciones y programas dentro de una jerarquía estricta, y aplicando esas políticas con el menor privilegio, podemos asegurarnos de que nuestras aplicaciones y programas también sobrevivan y prosperen a pesar del devastador y duro panorama de amenazas que se les presenta.
Los ataques a aplicaciones y programas informáticos alcanzan su máximo histórico
Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante comprender primero el panorama de las amenazas. Hoy en día, los atacantes, y los bots y el software automatizado que trabajan para ellos, buscan constantemente cualquier fallo en las defensas que puedan aprovechar. Y aunque se siguen lanzando ataques de phishing y de otro tipo contra humanos, los hackers más hábiles han trasladado la mayoría de sus esfuerzos a atacar software.
Y aunque todo el software está en el punto de mira, los ataques más exitosos se están realizando contra las interfaces de programación de aplicaciones, o API. Estas sencillas API son pequeñas piezas de software utilizadas por los desarrolladores para realizar una serie de pequeñas pero importantes tareas para sus aplicaciones y programas. A menudo son flexibles y únicas, y a veces incluso se crean sobre la marcha, según las necesidades del proceso de desarrollo.
Las API son ciertamente flexibles, pero también suelen tener demasiados permisos para sus funciones. Los desarrolladores tienden a darles muchos permisos para que puedan, por ejemplo, seguir funcionando aunque el programa que están ayudando a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, entonces obtienen mucho más que los derechos para acceder, por ejemplo, a una parte de una base de datos específica. Pueden incluso obtener derechos de casi administrador para toda una red.
No es de extrañar que varias empresas de investigación de seguridad afirmen que la inmensa mayoría de los ataques actuales de robo de credenciales se realizan contra software como las API. Akamai cifra esa cifra en el 75% del total, mientras que Gartner también afirma que las vulnerabilidades que afectan a las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra que los ataques contra las API han aumentado casi un 700% en comparación con el año pasado.
Creación de un organigrama para software
Una de las formas en que las organizaciones están luchando contra las amenazas de robo de credenciales es aplicando el mínimo privilegio o incluso la confianza cero dentro de sus redes. Esto limita a los usuarios a recibir permisos apenas suficientes para realizar su trabajo o tareas. Ese acceso suele restringirse aún más por factores como la hora y la ubicación. De esta forma, incluso si un ataque de robo de credenciales tiene éxito, no servirá de mucho al atacante, ya que sólo tendrá permiso para realizar funciones limitadas durante un breve periodo de tiempo.
El mínimo privilegio es una buena defensa, pero normalmente sólo se aplica a los usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados, y a menudo no están tan reguladas. Esta es una de las razones por las que un control de acceso defectuoso es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de los ciberataques.
Es fácil decir que la solución a este problema crítico es simplemente aplicar el mínimo privilegio al software. Pero es mucho más difícil de aplicar. En primer lugar, hay que concienciar a los desarrolladores de los peligros. Y luego, de cara al futuro, las API y demás software deben situarse oficialmente, o al menos preverse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si una API debe obtener datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay razón para que también pueda conectarse con los sistemas de nóminas o finanzas. En el organigrama del software, no habría líneas directas, ni siquiera discontinuas, que conectaran esos sistemas.
Probablemente sea poco realista para los desarrolladores crear un organigrama que muestre los miles o incluso millones de APIs que operan en su organización. Pero ser conscientes del peligro que suponen y restringir sus permisos a lo estrictamente necesario para realizar su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta estos días. Comienza con la concienciación y termina tratando las API y el software con el mismo escrutinio que a los usuarios humanos.
¿Quiere elevar su equipo de desarrollo? Navegue por los problemas de seguridad de las API y mucho más con nuestro ágil learning platform herramientas de seguridad ágiles y orientadas al desarrollador.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Lectura oscura. Se ha actualizado y sindicado aquí.
Todo el mundo ha visto en algún momento de su carrera uno de esos organigramas que definen quién depende de quién en una organización. A veces se denominan simplemente organigramas y son una herramienta útil para que la gente sepa quién trabaja para ellos y quiénes son sus jefes. Por ejemplo, en un organigrama típico, el jefe de un grupo de codificación puede depender del director de desarrollo de productos, que a su vez depende del vicepresidente de innovación. Y luego las líneas de autoridad continúan hacia arriba y hacia abajo en la estructura de la empresa. ¿Quién no ha mirado uno de esos organigramas para intentar encontrar su pequeño bloque personal en algún lugar?
No es de extrañar que a los humanos nos fascinen tanto la jerarquía y la estructura. Es lo que históricamente nos ha mantenido vivos como especie durante tanto tiempo, incluso en la antigüedad, cuando nos enfrentábamos a un mundo muy peligroso. Nunca fuimos las criaturas más fuertes ni las más rápidas, pero trabajábamos bien en equipo y cada uno sabía cuál era su lugar y su responsabilidad a la hora de mantener unida, viva y próspera a nuestra familia, tribu o grupo. El organigrama moderno es en realidad una prolongación de aquellos tiempos y de aquel antiguo éxito.
Pero hay algo que casi todos los organigramas tienen en común, independientemente del tamaño de la empresa o de otros factores. En su mayor parte, todos los componentes de esos organigramas son humanos o grupos de humanos. Aún no hemos llegado al punto en que las máquinas puedan supervisar a los humanos, así que, por ahora, los organigramas son un asunto exclusivamente humano. Pero, ¿nuestro software también necesita una jerarquía organizativa?
Por supuesto, no estoy sugiriendo que añadamos software a los organigramas de nuestras empresas. Nadie quiere tener una aplicación como jefe. ¿Cómo le pedirías un aumento? Pero el panorama de amenazas al que se enfrentan nuestras aplicaciones y programas hoy en día no es muy distinto del peligroso entorno al que se enfrentaban nuestros antiguos parientes humanos hace mucho tiempo. Ayudando a definir las responsabilidades de nuestras aplicaciones y programas dentro de una jerarquía estricta, y aplicando esas políticas con el menor privilegio, podemos asegurarnos de que nuestras aplicaciones y programas también sobrevivan y prosperen a pesar del devastador y duro panorama de amenazas que se les presenta.
Los ataques a aplicaciones y programas informáticos alcanzan su máximo histórico
Para entender la necesidad de crear mejores jerarquías organizativas para el software, es importante comprender primero el panorama de las amenazas. Hoy en día, los atacantes, y los bots y el software automatizado que trabajan para ellos, buscan constantemente cualquier fallo en las defensas que puedan aprovechar. Y aunque se siguen lanzando ataques de phishing y de otro tipo contra humanos, los hackers más hábiles han trasladado la mayoría de sus esfuerzos a atacar software.
Y aunque todo el software está en el punto de mira, los ataques más exitosos se están realizando contra las interfaces de programación de aplicaciones, o API. Estas sencillas API son pequeñas piezas de software utilizadas por los desarrolladores para realizar una serie de pequeñas pero importantes tareas para sus aplicaciones y programas. A menudo son flexibles y únicas, y a veces incluso se crean sobre la marcha, según las necesidades del proceso de desarrollo.
Las API son ciertamente flexibles, pero también suelen tener demasiados permisos para sus funciones. Los desarrolladores tienden a darles muchos permisos para que puedan, por ejemplo, seguir funcionando aunque el programa que están ayudando a gestionar siga desarrollándose y cambiando. Pero eso significa que si un atacante los compromete, entonces obtienen mucho más que los derechos para acceder, por ejemplo, a una parte de una base de datos específica. Pueden incluso obtener derechos de casi administrador para toda una red.
No es de extrañar que varias empresas de investigación de seguridad afirmen que la inmensa mayoría de los ataques actuales de robo de credenciales se realizan contra software como las API. Akamai cifra esa cifra en el 75% del total, mientras que Gartner también afirma que las vulnerabilidades que afectan a las API se han convertido en el vector de ataque más frecuente. Y el informe más reciente de Salt Labs muestra que los ataques contra las API han aumentado casi un 700% en comparación con el año pasado.
Creación de un organigrama para software
Una de las formas en que las organizaciones están luchando contra las amenazas de robo de credenciales es aplicando el mínimo privilegio o incluso la confianza cero dentro de sus redes. Esto limita a los usuarios a recibir permisos apenas suficientes para realizar su trabajo o tareas. Ese acceso suele restringirse aún más por factores como la hora y la ubicación. De esta forma, incluso si un ataque de robo de credenciales tiene éxito, no servirá de mucho al atacante, ya que sólo tendrá permiso para realizar funciones limitadas durante un breve periodo de tiempo.
El mínimo privilegio es una buena defensa, pero normalmente sólo se aplica a los usuarios humanos. Tendemos a olvidar que las API también tienen privilegios elevados, y a menudo no están tan reguladas. Esta es una de las razones por las que un control de acceso defectuoso es ahora el enemigo público número uno según el Open Web Application Security Project (OWASP), que rastrea los patrones de los ciberataques.
Es fácil decir que la solución a este problema crítico es simplemente aplicar el mínimo privilegio al software. Pero es mucho más difícil de aplicar. En primer lugar, hay que concienciar a los desarrolladores de los peligros. Y luego, de cara al futuro, las API y demás software deben situarse oficialmente, o al menos preverse, como parte de un organigrama dentro de la red informática en la que residirán. Por ejemplo, si una API debe obtener datos de vuelos en tiempo real como parte de una aplicación de reservas, no hay razón para que también pueda conectarse con los sistemas de nóminas o finanzas. En el organigrama del software, no habría líneas directas, ni siquiera discontinuas, que conectaran esos sistemas.
Probablemente sea poco realista para los desarrolladores crear un organigrama que muestre los miles o incluso millones de APIs que operan en su organización. Pero ser conscientes del peligro que suponen y restringir sus permisos a lo estrictamente necesario para realizar su trabajo contribuirá en gran medida a detener los ataques desenfrenados de robo de credenciales a los que todo el mundo se enfrenta estos días. Comienza con la concienciación y termina tratando las API y el software con el mismo escrutinio que a los usuarios humanos.
¿Quiere elevar su equipo de desarrollo? Navegue por los problemas de seguridad de las API y mucho más con nuestro ágil learning platform herramientas de seguridad ágiles y orientadas al desarrollador.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Asistentes de codificación de IA: Guía de navegación segura para la próxima generación de desarrolladores
Los grandes modelos lingüísticos ofrecen ventajas irresistibles en velocidad y productividad, pero también introducen riesgos innegables para la empresa. Las barandillas de seguridad tradicionales no bastan para controlar el diluvio. Los desarrolladores necesitan conocimientos de seguridad precisos y verificados para identificar y prevenir los fallos de seguridad desde el principio del ciclo de vida de desarrollo del software.
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Recursos para empezar
Más de 10.000 actividades de aprendizaje sobre código seguro: Una década de gestión de riesgos para desarrolladores
Más de 10 000 actividades de aprendizaje de código seguro y una década ayudando a los desarrolladores a reducir riesgos, mejorar la calidad del código y abordar con confianza el desarrollo asistido por IA.
.jpg)
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
