Asegurar las APIs: ¿Misión imposible?
Los ciberataques están, sin duda, en aumento. Según el informe Verizon 2021 Data Breach Investigations Report, el panorama de las amenazas es hoy más peligroso que nunca. Organizaciones de todos los tamaños están experimentando un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de las amenazas que se dirigen a ellas. Y las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes utilizadas por los hackers durante este bombardeo sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los que se incluyeron en la lista de los 10 principales riesgos y vulnerabilidades de seguridad para 2021 del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), implicaron el robo o la puesta en peligro de credenciales. Y, según una investigación de seguridad realizada por Akamai, la inmensa mayoría, casi el 75%, se dirigía directamente a las credenciales de las API.
El auge y la posible ruina de las API
No es de extrañar que las interfaces de programación de aplicaciones, en la mayoría de los casos denominadas simplemente API, estén en auge en las redes de casi todas las organizaciones. Son un componente crítico de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos on-prem en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día casi no se puede llevar a cabo ningún tipo de negocio o tarea sin la nube, especialmente los que están orientados al público. Y eso significa que las APIs van a ser sin duda el pegamento que mantenga unidos bastantes servicios en cada red.
Lo sorprendente de las APIs es que, en su mayoría, son pequeñas y discretas en cuanto a la asignación de recursos de red. Además, son completamente flexibles, por lo que pueden encargarse de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o gestionar un programa concreto. Pueden utilizarse para realizar funciones muy específicas, como el acceso a los datos de un sistema operativo anfitrión, una aplicación o un servicio.
Desgraciadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y son pasadas por alto por los equipos de seguridad, lo que hace que las API sean objetivos atractivos. La mayoría de las APIs están diseñadas por los desarrolladores para una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando aunque se modifique o cambie el programa central que gestionan. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas en el sentido de que se crean para cumplir una función concreta con un solo programa en una red específica. Si son codificadas por desarrolladores que no son muy conscientes de la seguridad, o que no se concentran específicamente en la seguridad, entonces pueden y probablemente tendrán cualquier número de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se está descontrolando rápidamente. Según Gartner, en 2022 las vulnerabilidades relacionadas con las API se convertirán en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las APIs no es para hacerse con la función específica que realiza la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las APIs, además de estar repletas de vulnerabilidades, es que a menudo tienen demasiados permisos en lo que respecta a su funcionalidad principal. Para simplificar, la mayoría de las APIs tienen un acceso casi de nivel de administrador en una red. Si un atacante obtiene el control de una de ellas, a menudo puede utilizar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Y como la API tiene permiso para realizar cualquier tarea a la que el atacante la dirija, sus acciones pueden a menudo eludir la supervisión tradicional de la ciberseguridad porque la API no está infringiendo ninguna regla gracias a su pase VIP de acceso a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede suponer un gran problema si son objetivo de los atacantes.
Defensa de las APIs
A pesar de lo peligrosa que se está volviendo la situación con las APIs, está lejos de ser desesperada. Hay un gran esfuerzo a través de movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad, y para llevar la seguridad y las mejores prácticas a todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y el despliegue. Incluir la seguridad de las APIs como parte de esa formación será fundamental para cualquier organización que quiera frenar la tendencia de explotación de las APIs hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas que se pueden implementar ahora mismo en términos de seguridad de la API.
Lo primero es incluir controles de identidad estrictos para todas las APIs. Deberías considerarlas casi como usuarios humanos a la hora de asignar permisos. Sólo porque una API está diseñada para hacer una función específica, hay que pensar en lo que podría pasar si un atacante es capaz de comprometerla. Considere la posibilidad de utilizar un control de acceso basado en roles. Lo ideal es que, en última instancia, aplique los principios de confianza cero a sus APIs y usuarios, pero eso suele ser un camino largo. Una buena gestión de identidades es un buen punto de partida. Sólo asegúrese de incluir las APIs como parte de ese programa.
También debe controlar estrictamente las distintas llamadas que se realizan a través de sus APIs en la medida de lo posible. Si limitas esas llamadas a peticiones muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus APIs, con una API inicial que haga una llamada muy contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un actor de la amenaza, incluso si son capaces de explotar y comprometer una API dentro de esa cadena.
Las amenazas que se ciernen sobre las API pueden parecer ciertamente abrumadoras. Pero si se aplican las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, se puede construir un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera comprometen uno de sus pequeños pero esenciales caballos de batalla de la API.
La seguridad de las API es difícil, pero con la formación adecuada, la planificación y la atención a las mejores prácticas, incluso las vulnerabilidades más insidiosas pueden mitigarse.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los ciberataques están, sin duda, en aumento. Según el informe Verizon 2021 Data Breach Investigations Report, el panorama de las amenazas es hoy más peligroso que nunca. Organizaciones de todos los tamaños están experimentando un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de las amenazas que se dirigen a ellas. Y las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes utilizadas por los hackers durante este bombardeo sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los que se incluyeron en la lista de los 10 principales riesgos y vulnerabilidades de seguridad para 2021 del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), implicaron el robo o la puesta en peligro de credenciales. Y, según una investigación de seguridad realizada por Akamai, la inmensa mayoría, casi el 75%, se dirigía directamente a las credenciales de las API.
El auge y la posible ruina de las API
No es de extrañar que las interfaces de programación de aplicaciones, en la mayoría de los casos denominadas simplemente API, estén en auge en las redes de casi todas las organizaciones. Son un componente crítico de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos on-prem en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día casi no se puede llevar a cabo ningún tipo de negocio o tarea sin la nube, especialmente los que están orientados al público. Y eso significa que las APIs van a ser sin duda el pegamento que mantenga unidos bastantes servicios en cada red.
Lo sorprendente de las APIs es que, en su mayoría, son pequeñas y discretas en cuanto a la asignación de recursos de red. Además, son completamente flexibles, por lo que pueden encargarse de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o gestionar un programa concreto. Pueden utilizarse para realizar funciones muy específicas, como el acceso a los datos de un sistema operativo anfitrión, una aplicación o un servicio.
Desgraciadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y son pasadas por alto por los equipos de seguridad, lo que hace que las API sean objetivos atractivos. La mayoría de las APIs están diseñadas por los desarrolladores para una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando aunque se modifique o cambie el programa central que gestionan. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas en el sentido de que se crean para cumplir una función concreta con un solo programa en una red específica. Si son codificadas por desarrolladores que no son muy conscientes de la seguridad, o que no se concentran específicamente en la seguridad, entonces pueden y probablemente tendrán cualquier número de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se está descontrolando rápidamente. Según Gartner, en 2022 las vulnerabilidades relacionadas con las API se convertirán en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las APIs no es para hacerse con la función específica que realiza la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las APIs, además de estar repletas de vulnerabilidades, es que a menudo tienen demasiados permisos en lo que respecta a su funcionalidad principal. Para simplificar, la mayoría de las APIs tienen un acceso casi de nivel de administrador en una red. Si un atacante obtiene el control de una de ellas, a menudo puede utilizar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Y como la API tiene permiso para realizar cualquier tarea a la que el atacante la dirija, sus acciones pueden a menudo eludir la supervisión tradicional de la ciberseguridad porque la API no está infringiendo ninguna regla gracias a su pase VIP de acceso a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede suponer un gran problema si son objetivo de los atacantes.
Defensa de las APIs
A pesar de lo peligrosa que se está volviendo la situación con las APIs, está lejos de ser desesperada. Hay un gran esfuerzo a través de movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad, y para llevar la seguridad y las mejores prácticas a todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y el despliegue. Incluir la seguridad de las APIs como parte de esa formación será fundamental para cualquier organización que quiera frenar la tendencia de explotación de las APIs hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas que se pueden implementar ahora mismo en términos de seguridad de la API.
Lo primero es incluir controles de identidad estrictos para todas las APIs. Deberías considerarlas casi como usuarios humanos a la hora de asignar permisos. Sólo porque una API está diseñada para hacer una función específica, hay que pensar en lo que podría pasar si un atacante es capaz de comprometerla. Considere la posibilidad de utilizar un control de acceso basado en roles. Lo ideal es que, en última instancia, aplique los principios de confianza cero a sus APIs y usuarios, pero eso suele ser un camino largo. Una buena gestión de identidades es un buen punto de partida. Sólo asegúrese de incluir las APIs como parte de ese programa.
También debe controlar estrictamente las distintas llamadas que se realizan a través de sus APIs en la medida de lo posible. Si limitas esas llamadas a peticiones muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus APIs, con una API inicial que haga una llamada muy contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un actor de la amenaza, incluso si son capaces de explotar y comprometer una API dentro de esa cadena.
Las amenazas que se ciernen sobre las API pueden parecer ciertamente abrumadoras. Pero si se aplican las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, se puede construir un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera comprometen uno de sus pequeños pero esenciales caballos de batalla de la API.
Los ciberataques están, sin duda, en aumento. Según el informe Verizon 2021 Data Breach Investigations Report, el panorama de las amenazas es hoy más peligroso que nunca. Organizaciones de todos los tamaños están experimentando un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de las amenazas que se dirigen a ellas. Y las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes utilizadas por los hackers durante este bombardeo sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los que se incluyeron en la lista de los 10 principales riesgos y vulnerabilidades de seguridad para 2021 del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), implicaron el robo o la puesta en peligro de credenciales. Y, según una investigación de seguridad realizada por Akamai, la inmensa mayoría, casi el 75%, se dirigía directamente a las credenciales de las API.
El auge y la posible ruina de las API
No es de extrañar que las interfaces de programación de aplicaciones, en la mayoría de los casos denominadas simplemente API, estén en auge en las redes de casi todas las organizaciones. Son un componente crítico de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos on-prem en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día casi no se puede llevar a cabo ningún tipo de negocio o tarea sin la nube, especialmente los que están orientados al público. Y eso significa que las APIs van a ser sin duda el pegamento que mantenga unidos bastantes servicios en cada red.
Lo sorprendente de las APIs es que, en su mayoría, son pequeñas y discretas en cuanto a la asignación de recursos de red. Además, son completamente flexibles, por lo que pueden encargarse de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o gestionar un programa concreto. Pueden utilizarse para realizar funciones muy específicas, como el acceso a los datos de un sistema operativo anfitrión, una aplicación o un servicio.
Desgraciadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y son pasadas por alto por los equipos de seguridad, lo que hace que las API sean objetivos atractivos. La mayoría de las APIs están diseñadas por los desarrolladores para una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando aunque se modifique o cambie el programa central que gestionan. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas en el sentido de que se crean para cumplir una función concreta con un solo programa en una red específica. Si son codificadas por desarrolladores que no son muy conscientes de la seguridad, o que no se concentran específicamente en la seguridad, entonces pueden y probablemente tendrán cualquier número de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se está descontrolando rápidamente. Según Gartner, en 2022 las vulnerabilidades relacionadas con las API se convertirán en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las APIs no es para hacerse con la función específica que realiza la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las APIs, además de estar repletas de vulnerabilidades, es que a menudo tienen demasiados permisos en lo que respecta a su funcionalidad principal. Para simplificar, la mayoría de las APIs tienen un acceso casi de nivel de administrador en una red. Si un atacante obtiene el control de una de ellas, a menudo puede utilizar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Y como la API tiene permiso para realizar cualquier tarea a la que el atacante la dirija, sus acciones pueden a menudo eludir la supervisión tradicional de la ciberseguridad porque la API no está infringiendo ninguna regla gracias a su pase VIP de acceso a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede suponer un gran problema si son objetivo de los atacantes.
Defensa de las APIs
A pesar de lo peligrosa que se está volviendo la situación con las APIs, está lejos de ser desesperada. Hay un gran esfuerzo a través de movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad, y para llevar la seguridad y las mejores prácticas a todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y el despliegue. Incluir la seguridad de las APIs como parte de esa formación será fundamental para cualquier organización que quiera frenar la tendencia de explotación de las APIs hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas que se pueden implementar ahora mismo en términos de seguridad de la API.
Lo primero es incluir controles de identidad estrictos para todas las APIs. Deberías considerarlas casi como usuarios humanos a la hora de asignar permisos. Sólo porque una API está diseñada para hacer una función específica, hay que pensar en lo que podría pasar si un atacante es capaz de comprometerla. Considere la posibilidad de utilizar un control de acceso basado en roles. Lo ideal es que, en última instancia, aplique los principios de confianza cero a sus APIs y usuarios, pero eso suele ser un camino largo. Una buena gestión de identidades es un buen punto de partida. Sólo asegúrese de incluir las APIs como parte de ese programa.
También debe controlar estrictamente las distintas llamadas que se realizan a través de sus APIs en la medida de lo posible. Si limitas esas llamadas a peticiones muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus APIs, con una API inicial que haga una llamada muy contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un actor de la amenaza, incluso si son capaces de explotar y comprometer una API dentro de esa cadena.
Las amenazas que se ciernen sobre las API pueden parecer ciertamente abrumadoras. Pero si se aplican las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, se puede construir un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera comprometen uno de sus pequeños pero esenciales caballos de batalla de la API.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los ciberataques están, sin duda, en aumento. Según el informe Verizon 2021 Data Breach Investigations Report, el panorama de las amenazas es hoy más peligroso que nunca. Organizaciones de todos los tamaños están experimentando un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de las amenazas que se dirigen a ellas. Y las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes utilizadas por los hackers durante este bombardeo sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los que se incluyeron en la lista de los 10 principales riesgos y vulnerabilidades de seguridad para 2021 del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), implicaron el robo o la puesta en peligro de credenciales. Y, según una investigación de seguridad realizada por Akamai, la inmensa mayoría, casi el 75%, se dirigía directamente a las credenciales de las API.
El auge y la posible ruina de las API
No es de extrañar que las interfaces de programación de aplicaciones, en la mayoría de los casos denominadas simplemente API, estén en auge en las redes de casi todas las organizaciones. Son un componente crítico de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos on-prem en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día casi no se puede llevar a cabo ningún tipo de negocio o tarea sin la nube, especialmente los que están orientados al público. Y eso significa que las APIs van a ser sin duda el pegamento que mantenga unidos bastantes servicios en cada red.
Lo sorprendente de las APIs es que, en su mayoría, son pequeñas y discretas en cuanto a la asignación de recursos de red. Además, son completamente flexibles, por lo que pueden encargarse de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o gestionar un programa concreto. Pueden utilizarse para realizar funciones muy específicas, como el acceso a los datos de un sistema operativo anfitrión, una aplicación o un servicio.
Desgraciadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y son pasadas por alto por los equipos de seguridad, lo que hace que las API sean objetivos atractivos. La mayoría de las APIs están diseñadas por los desarrolladores para una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando aunque se modifique o cambie el programa central que gestionan. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas en el sentido de que se crean para cumplir una función concreta con un solo programa en una red específica. Si son codificadas por desarrolladores que no son muy conscientes de la seguridad, o que no se concentran específicamente en la seguridad, entonces pueden y probablemente tendrán cualquier número de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se está descontrolando rápidamente. Según Gartner, en 2022 las vulnerabilidades relacionadas con las API se convertirán en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las APIs no es para hacerse con la función específica que realiza la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las APIs, además de estar repletas de vulnerabilidades, es que a menudo tienen demasiados permisos en lo que respecta a su funcionalidad principal. Para simplificar, la mayoría de las APIs tienen un acceso casi de nivel de administrador en una red. Si un atacante obtiene el control de una de ellas, a menudo puede utilizar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Y como la API tiene permiso para realizar cualquier tarea a la que el atacante la dirija, sus acciones pueden a menudo eludir la supervisión tradicional de la ciberseguridad porque la API no está infringiendo ninguna regla gracias a su pase VIP de acceso a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede suponer un gran problema si son objetivo de los atacantes.
Defensa de las APIs
A pesar de lo peligrosa que se está volviendo la situación con las APIs, está lejos de ser desesperada. Hay un gran esfuerzo a través de movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad, y para llevar la seguridad y las mejores prácticas a todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y el despliegue. Incluir la seguridad de las APIs como parte de esa formación será fundamental para cualquier organización que quiera frenar la tendencia de explotación de las APIs hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas que se pueden implementar ahora mismo en términos de seguridad de la API.
Lo primero es incluir controles de identidad estrictos para todas las APIs. Deberías considerarlas casi como usuarios humanos a la hora de asignar permisos. Sólo porque una API está diseñada para hacer una función específica, hay que pensar en lo que podría pasar si un atacante es capaz de comprometerla. Considere la posibilidad de utilizar un control de acceso basado en roles. Lo ideal es que, en última instancia, aplique los principios de confianza cero a sus APIs y usuarios, pero eso suele ser un camino largo. Una buena gestión de identidades es un buen punto de partida. Sólo asegúrese de incluir las APIs como parte de ese programa.
También debe controlar estrictamente las distintas llamadas que se realizan a través de sus APIs en la medida de lo posible. Si limitas esas llamadas a peticiones muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus APIs, con una API inicial que haga una llamada muy contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un actor de la amenaza, incluso si son capaces de explotar y comprometer una API dentro de esa cadena.
Las amenazas que se ciernen sobre las API pueden parecer ciertamente abrumadoras. Pero si se aplican las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, se puede construir un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera comprometen uno de sus pequeños pero esenciales caballos de batalla de la API.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
