Cualquier persona interesada en mantenerse a la vanguardia de los ataques de ciberseguridad y las intrusiones en la red empresarial a través de las vulnerabilidades de la interfaz de programación de aplicaciones (API) ahora puede aprovechar los avisos de expertos y los informes de seguridad.
Salt Security anunció el 14 de julio el lanzamiento de Salt Labs, un foro ahora público para publicar investigaciones sobre vulnerabilidades de API. A través de su investigación de vulnerabilidades y amenazas, así como de los informes de la industria, Salt Labs será un recurso para las empresas que buscan fortalecer la infraestructura contra el riesgo de API.
La compañía tiene como objetivo llenar un vacío en la información disponible sobre los aspectos más destacados de la investigación de riesgos y vulnerabilidades de API. Salt Labs se creó como un recurso para los clientes de Salt Security, así como para la industria en general, para aumentar la conciencia pública sobre las amenazas a la seguridad de las API, fortalecer la infraestructura contra el riesgo de las API y acelerar la innovación comercial al hacer que las API sean resistentes y resistentes a los ataques.
Las preocupaciones sobre la seguridad de las API se han convertido en un importante inhibidor de la innovación empresarial, según Salt.
Salt también publicó su primer informe de investigación que detalla cuatro vulnerabilidades de API descubiertas recientemente que afectan a las empresas de servicios financieros. Este primer informe de investigación de amenazas, «Registros financieros detallados expuestos en la plataforma de servicios financieros», sirve como un ejemplo evidente para un medio de este tipo.
El equipo descubrió múltiples vulnerabilidades de la API que podrían permitir a los atacantes ver los registros financieros de los clientes, eliminar las cuentas de los clientes, realizar la apropiación de cuentas (ATO) o crear una condición de denegación de servicio que haría que aplicaciones enteras no estuvieran disponibles.
Las API son códigos de software que permiten que las aplicaciones informáticas accedan a los datos e interactúen con componentes de software, sistemas operativos o microservicios externos. El proceso entrega las respuestas del usuario a un sistema y envía la respuesta del sistema al usuario.
“Con el crecimiento de las API y el papel central que desempeñan en los entornos de aplicaciones actuales, la necesidad de una investigación imparcial, relevante y confiable nos ha llevado a compartir la investigación de seguridad de API innovadora que nuestro equipo ha estado realizando durante años”, dijo Roey Eliyahu. , cofundador y director ejecutivo de Salt Security.
Tabla de Contenidos
Un ejemplo de ello
Según el informe Salt Security State of API Security, el 66 % de las organizaciones han retrasado la implementación de una nueva aplicación debido a problemas de seguridad de API. Para contrarrestar estas preocupaciones, la investigación y los informes de Salt Labs permitirán a las organizaciones mejorar su postura de seguridad de API y mitigar las amenazas que afectan a las empresas centradas en API.
Utilizando una comprensión técnica profunda de las amenazas API, las brechas de seguridad y las configuraciones incorrectas, Salt Labs se enfoca en tres objetivos. Su objetivo es ofrecer una investigación de amenazas de alto impacto, descubrir los últimos vectores de ataque de API y proporcionar las mejores prácticas de remediación para hacer que los programas de seguridad de API sean cada vez más ágiles y accionables.
Los investigadores de Salt Labs investigaron la plataforma en línea de una gran institución financiera que brinda servicios API a miles de bancos asociados y asesores financieros. Como resultado de múltiples vulnerabilidades de API, los investigadores encontraron que los atacantes podían lanzar ataques donde:
- Cualquier usuario podía leer los registros financieros de cualquier cliente.
- Cualquier usuario podía eliminar las cuentas de cualquier cliente en el sistema.
- Cualquier usuario podría hacerse cargo de cualquier cuenta.
- Cualquier usuario podría crear una condición de denegación de servicio que haría que aplicaciones completas no estuvieran disponibles.
Los investigadores de Salt explotaron estas vulnerabilidades de seguridad de API de alta gravedad en la plataforma de servicios financieros:
- Autorización de nivel de objeto roto (BOLA)
- Autorización de nivel de función rota (BFLA)
- Susceptibilidad a la manipulación de parámetros
- Validación de entrada incorrecta
Estrategias de informes
Los investigadores anonimizaron cualquier detalle técnico de la vulnerabilidad que pudiera identificar a la organización para no exponer a la entidad financiera a ningún riesgo adicional. Los funcionarios de Salt Lab revisaron estos hallazgos con la organización y compartieron la información públicamente para mejorar la concienciación sobre la seguridad de las API al detallar los patrones de ataque relevantes, los detalles técnicos y las técnicas de mitigación para cada vulnerabilidad.
Muchos problemas de API solo se manifiestan cuando las API se ejecutan dentro de una aplicación, un sistema y una arquitectura completamente integrados, según Michael Isbitski, evangelista técnico de Salt Security. El análisis de código por sí solo no lo cubrirá, y tampoco es factible en casos de código de propiedad de terceros o integración de servicios externos.
“Probar las API a fondo en tiempo de ejecución sin la ayuda de máquinas es una tarea compleja y que requiere mucho tiempo. Es difícil encontrar experiencia en la materia relevante para ejecutar todas las herramientas necesarias y comprender los resultados de lo que se está descubriendo, ya que los problemas de API cruzan una serie de dominios tecnológicos y de seguridad”, dijo a TechNewsWorld.
Preocupación oculta de ciberseguridad
Las API no siempre se mencionan por su nombre como una faceta de la ciberseguridad. Pero las API sustentan la mayoría de los diseños de sistemas modernos y las cadenas de suministro de software.
“Muchos incidentes que estamos viendo en la industria, incluidos los ataques a la cadena de suministro, ocurren debido a que las API no están protegidas o se usaron como un paso crítico de una cadena de ataque”, dijo Isbitski.
Siendo realistas, las organizaciones preocupadas por los riesgos de seguridad de API deberían buscar ofertas de seguridad de API especialmente diseñadas que estén diseñadas como plataformas, agregó. Tales soluciones brindan una variedad de capacidades para proteger las API durante todo el ciclo de vida.
Trayectorias divergentes
Desafortunadamente, la proliferación de API y la seguridad de API están en trayectorias divergentes, según Setu Kulkarni, vicepresidente de estrategia de NTT Application Security. Las API están proliferando exponencialmente más rápido que las pruebas de seguridad de estas mismas API. Mientras tanto, crear e implementar API es más fácil que nunca.
“Examinar los metadatos y el análisis del tráfico en vivo se está convirtiendo en una mejor manera de descubrir las API que simplemente alistarlas en función de los comentarios de los desarrolladores”, dijo a TechNewsWorld.
Las pruebas de seguridad de API siguen el patrón de las pruebas funcionales de API. Es decir, utilizar el marco base proporcionado por las herramientas de prueba funcional para orquestar la secuencia de llamadas de la API para garantizar que se realicen pruebas de seguridad en esas secuencias de llamadas, explicó Kulkarni.
“Las pruebas dinámicas se están convirtiendo en la forma más segura de examinar la seguridad de las API. Las pruebas dinámicas se están adaptando al uso de los desarrolladores”, agregó.
Modelos comerciales comunes
Las API se están convirtiendo rápidamente en la base técnica de los modelos comerciales B2B y B2C. Como tal, cuando se desarrollan e implementan las API, realmente no hay forma de estimar todos los lugares posibles en los que se utilizarán las API, según Kulkarni.
“Las API se están convirtiendo silenciosa pero rápidamente en una de las piezas más críticas de la cadena de suministro de software. Las organizaciones ahora están a una llamada de API vulnerable de distancia de una posible violación importante”, advirtió.
Un desafío subyacente que se ofusca es el hecho de que las API de hoy son fachadas de sistemas heredados que nunca se diseñaron para estar en línea o usarse en un entorno B2B o B2C integrado, observó Kulkarni.
“Al crear una capa API, estos sistemas transaccionales heredados pueden participar en iniciativas de transformación digital”, dijo.
Este patrón de habilitación de API de sistemas heredados crea problemas de seguridad. De lo contrario, no habrían sido problemas en las zonas de confianza controladas en las que se diseñaron los sistemas heredados para operar.
Corrección de la seguridad de la API
Cuando se trata de aplicaciones API first y basadas en microservicios, no se presta la debida atención a la seguridad, que a menudo no es un requisito documentado o medido.
“Además, incluso si la seguridad fuera un requisito, los equipos de desarrollo no saben cómo son las buenas API seguras”, señaló Kulkarni.
Ofreció estas estrategias para superar estos desafíos:
- Siempre pregunte qué medidas de seguridad se han tomado para proteger las API que planea usar de un socio o un tercero (interno o externo). Si preguntas, lo sabrás. De lo contrario, solo asumirás.
- Pruebe sus API en producción, ya sean API de envoltorio para sistemas heredados o nuevas aplicaciones API-first. No hay sustituto para las pruebas en producción.
- Asegúrese de que su equipo de gestión de productos documente los casos de abuso relacionados con la seguridad como requisitos durante el desarrollo. Hacer de la seguridad un criterio de salida.
El equipo de seguridad debería incluir preguntar a los equipos de desarrolladores sobre las medidas de seguridad de la API como un elemento de la lista de verificación en sus criterios de aceptación, sugirió Kulkarni.
Además, se necesita capacitación de desarrolladores enfocada para garantizar que haya suficiente capacitación disponible para que los desarrolladores sean efectivos y no los sobrecarguen, agregó.
