Cómo se atacan las aplicaciones web a través de las API

Los vectores de ataque discutidos aquí se ejecutan a través de Interfaces de Programación de Aplicaciones (API), que son intermediarios de software que permiten que las aplicaciones se comuniquen entre sí.

Por qué los ciberdelincuentes se dirigen a las API

Si algo nos ha enseñado la historia es que no hay vehículo libre cuando se trata de innovación. Una gran aplicación web ha abierto una mina de oro para oportunidades de ingresos de comercio electrónico. Solo los ataques de bots maliciosos pueden interrumpir seriamente el proceso. La tecnología de colaboración convierte a los equipos distribuidos en trabajadores digitales productivos solo para los ataques de phishing, lo que expone miles de millones de datos personales confidenciales a filtraciones y robos. Hoy en día, el desarrollo de aplicaciones nativas de la nube brinda a las organizaciones flexibilidad, velocidad y bajo costo sin precedentes. La base de este rápido proceso de desarrollo nativo de la nube es la API, y por una buena razón. Las API simplifican la capa de software de bajo nivel y permite a los desarrolladores centrarse en la funcionalidad central de su aplicación. En toda la empresa, las API reducen las barreras de entrada para los desarrolladores sin experiencia y aumentan la eficiencia de los trabajadores experimentados. Como resultado, el uso de la API ha aumentado significativamente. Según un análisis del tráfico WAF en la nube realizado por Imperva Research Labs, el porcentaje de tráfico web que fluye desde la API aumentó un 30 % en 2022 en comparación con el mismo período del año pasado.

¿Por qué los firewalls de aplicaciones web y la protección DDoS no son suficientes para proteger las API?

Los firewalls de aplicaciones web (WAF) y la protección DDoS han sido herramientas de facto para proteger aplicaciones web durante algún tiempo. A medida que se fortalecen las iniciativas de transformación digital, los desarrolladores integran microservicios, herramientas de código abierto y más en sus procesos de desarrollo de aplicaciones, lo que aumenta drásticamente su dependencia de las API. Desafortunadamente, las organizaciones tienen una visión limitada de la seguridad de las API que vienen con estos nuevos elementos. La protección DDoS es esencial para detener los ataques DDoS en los que los atacantes intentan abrumar la API con muchas solicitudes en un corto período de tiempo. Sin embargo, si no sabe qué cambios se han realizado en el esquema completo o en el esquema de la API que está expuesto a una gran cantidad de solicitudes, no sabe cómo responder al ataque. Esto reduce la efectividad de la protección DDoS. 

Lograr visibilidad y seguridad reales de la API

Una herramienta fácil de usar que aborda los complejos riesgos asociados con las API puede ser Imperva API Security, esta aumenta la visibilidad de las API que se requiere para protegerlas, proporciona datos y etiquetas contextuales completos y determina automáticamente los riesgos en torno a los datos confidenciales sin necesidad de que los equipos de desarrollo publiquen API a través de OpenAPI o añadiendo un flujo de trabajo intensivo en recursos a sus procesos de CI/CD. Los equipos de seguridad pueden incorporar un modelo de seguridad positivo para proteger su organización de las amenazas basadas en API. El modelo de implementación flexible proporciona protección tanto para las API orientadas al público como para las de backend en una sola solución sin ralentizar los equipos de desarrollo y funciona en entornos heredados, híbridos y nativos de la nube, incluidos Kubernetes, aplicaciones monolíticas heredadas, microservicios independientes y más.

 

Permita a sus equipos de seguridad seguir el ritmo de la innovación sin afectar a la velocidad de desarrollo, reduzca el riesgo de filtraciones y fugas de datos al descubrir API en la sombra, y una corrección para los desarrolladores de software y los administradores de seguridad.

 

¿Quiere hablar de ciberseguridad? ¡Contáctenos!

Dejar un comentario

Tu dirección de correo electrónico no será publicada.