Proteger las API: ¿misión imposible?
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
La seguridad de las API es difícil, pero con una formación adecuada, una planificación y un enfoque en las mejores prácticas, se pueden mitigar incluso las vulnerabilidades más insidiosas.
首席执行官、主席和联合创始人
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
点击下方链接,下载此资源的PDF文件。
Secure Code Warrior 您的组织在软件开发全生命周期中保护代码安全,并营造将网络安全置于首位的企业文化。无论您是应用安全管理员、开发人员、首席信息安全官,还是任何与安全相关的工作人员,我们都能助力您的组织降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
%20(1).avif)
.avif)
