Shadow API, un riesgo desconocido para las organizaciones
- OSIPTEL
- 3 junio 2024
Las Shadow API son puntos finales de servicios web que ya no están en uso, están desactualizados o no están documentados y, por lo tanto, no se administran activamente. Los equipos de aplicaciones y seguridad necesitan encontrar estas API y asegurarse de que cada una esté documentada o fuera de servicio para mitigar el importante riesgo que presentan.
Una de las mayores sorpresas para las empresas que aumentan su visibilidad de la actividad API es la gran cantidad de puntos finales ocultos en su entorno que antes desconocían. El primer paso para mejorar la seguridad de las API es descubrir estos puntos finales ocultos y eliminarlos o incorporarlos al programa de seguridad de API.
La seguridad de las API se ha convertido en un desafío cada vez más apremiante para los líderes de seguridad y TI. En los últimos años, muchas organizaciones han implementado ampliamente API para integrar sistemas, aplicaciones y servicios dispares, en un intento por optimizar los procesos comerciales e impulsar la eficiencia operativa. Las API también han desempeñado un papel central al permitir iniciativas de transformación digital, brindando a las empresas una forma de modernizar las aplicaciones heredadas, adoptar servicios en la nube y relacionarse de manera más eficiente con clientes, socios y otros terceros.
Una investigación de Akamai a principios de este año encontró que el 29% de todos los ataques web en 2023 tuvieron como objetivo las API. Los vectores de ataque comunes incluían inyección SQL, secuencias de comandos entre sitios, secuestro/manipulación de sesiones y ataques de recolección de datos. Los atacantes se dirigieron a organizaciones de determinados sectores con más frecuencia que a otros. Por ejemplo, más del 44% de todos los ataques web en el sector del comercio electrónico tuvieron como objetivo las API.
Las amenazas activas más comunes que suelen encontrar las organizaciones incluyen intentos no autenticados de acceder a recursos API confidenciales; actividad de API con cargas JSON inusuales, como tipos de datos inesperados o con formato incorrecto como parte de solicitudes de API; e intentos de extracción de datos.
Para mitigar estos riesgos, las organizaciones deben asegurarse de tener una visibilidad adecuada de su entorno API. Además de detectar y desmantelar las API ocultas, las organizaciones deben mantener un inventario de sus API. También necesitan fortalecer su postura API mediante:
– Corrección de fallas en el código y abordaje de problemas de configuración incorrecta.
– Reforzamiento de las capacidades de detección y respuesta a amenazas.
– Establecimiento de una capacidad de búsqueda de amenazas API.
Si bien el 59% de las organizaciones utilizan herramientas para descubrir todas las API en uso, persiste una brecha preocupante. Las empresas deben invertir en soluciones integrales que descubran, administren y monitoreen las actividades de API de manera consistente.
Comprender las interacciones entre las actividades de la API, los comportamientos de los usuarios y los flujos de datos es esencial. Sólo cuando las organizaciones tengan esta claridad podrán mitigar eficazmente los riesgos potenciales. Por lo tanto, la monitorización continua y las alertas en tiempo real deberían ser la norma.
Dado que la mayoría de las organizaciones dependen de los servicios en la nube, garantizar que tanto los equipos técnicos como los no técnicos comprendan la importancia de la seguridad de las API debe ser una prioridad para toda la empresa.
La seguridad de las API no es responsabilidad exclusiva del equipo de seguridad de TI. Dado el papel integral de las API en la transformación digital, es vital un enfoque colaborativo que involucre a las partes interesadas de toda la organización, desde desarrolladores hasta altos ejecutivos.
A medida que el panorama digital evoluciona, también lo harán la naturaleza y la funcionalidad de las API. Las organizaciones deben establecer estrategias de seguridad de API adaptables que puedan ajustarse en respuesta a amenazas emergentes o necesidades organizacionales cambiantes.
Fuente: https://blog.segu-info.com.ar/2024/05/shadow-api-un-riesgo-desconocido-para.html
Deja una respuesta