Presentado a fines de la semana pasada, la filtración de datos en la que fue Víctima La subsidiaria estadounidense del operador T-Mobile (Con al menos 37 millones de cuentas en cuestión), ilustra la gran amenaza a gran escala que representan cualquier falta de seguridad de las API en las empresas. Porque de hecho es un defecto en la protección de una interfaz de programación que permitió a los atacantes recuperar los datos personales de decenas de millones de clientes de operadores entre finales de noviembre de 2022 y el 5 de enero de 2023, fecha en la que se descubrió la olla de rosa Los equipos de T-Mobile.

Si la compañía no ha revelado cómo los Piratas lo tomaron para comprometer esta API, este incidente principal ilustra la prioridad que constituye el archivo de asegurar estas interfaces. Ya en 2021, la firma de diseño de Gartner advirtió sobre el riesgo de que la desviación de las API vierte los cibernético. Publicado a principios de año, un estudio realizado por el proveedor de Corsha Technologies, especializado en la seguridad de las API, evaluó el 53% de la participación de las empresas que experimentó una fuga de datos debido al compromiso de los tokens API. Recuerde que hace aproximadamente un mes, fue Twitter quien reconoció una fuga de datos que afectó a 235 millones de usuarios debido a un defecto en la obtención de una de sus interfaces.

Índice
  1. Una bendición para los desarrolladores ... y para los piratas
  2. Administrar secretos para hacer frente a la explosión del acceso

Una bendición para los desarrolladores ... y para los piratas

Como los usos de la nube se generalizan, lo que hace que el uso de API sea cada vez más esencial, el monitoreo del acceso a este último se convierte en un tema crítico para CIO y RSSI. Especialmente porque el número de acceso al monitoreo explota a medida que los sistemas se vuelven cada vez más híbridos. Y que una periodización simple de este mismo acceso a veces es insuficiente, como se muestra en el bypass de la solución de periodización de AWS CloudTrail actualizado por Datadog.

Pensamientos para facilitar la comunicación entre los servicios de aplicación, las API son objetivos de elección para los piratas informáticos, cualquier derivación que ofrezca acceso a grandes volúmenes de datos. “Las API están diseñadas para proporcionar fácil acceso a aplicaciones y datos. Una ventaja real para los desarrolladores, pero también una bendición para los piratas, explica Mark O'Neill, analista de Gartner de nuestros colegas de VentureBeat. La seguridad comienza con el descubrimiento y la categorización de sus API. No puede asegurar lo que no sabe. »Un requisito previo antes de implementar las medidas de seguridad adecuadas (pruebas de penetración, puertas de enlace dedicadas, herramientas de tipo WAAP, para aplicaciones web y protección API).

"Uno de los principales problemas es que la seguridad de las API depende de dos equipos: los equipos de ingeniería, que carecen de habilidades de seguridad, y los equipos de seguridad, que carecen de las habilidades en términos de API", reanuda al analista de Gartner.

Administrar secretos para hacer frente a la explosión del acceso

¿Una de las prioridades esenciales para estos equipos? Mejore la visibilidad de la identidad de máquinas, aplicaciones o servicios que acceden a las API de su organización. Según el estudio CORSHA, realizado con 400 especialistas en ingeniería de seguridad o software, el 42% de estos profesionales explican para administrar hasta 250 tokens, claves o certificados de acceso a API en sus redes. Si estos secretos están en una base de datos, codificada en un archivo dedicado, su monitoreo representa un gran desafío para los equipos de seguridad que ya están bajo presión.

Especialmente porque esta cifra está condenada a crecer rápidamente: el proveedor de equipos Cisco estima que se desarrollarán 500 millones de nuevas aplicaciones en 2023, tanto como en los últimos 40 años. "Más aplicaciones significa que el ejército de máquinas requiere acceso a las API explotará", dijo Corsha en su informe. Sin embargo, en la mayoría de las empresas, las prácticas de gestión de secretos, aún en gran medida basados ​​en intervenciones manuales, luchan por mantener el ritmo: ocho organizaciones de diez modifican los tokens, certificados y claves que brindan acceso a su API menos de una vez por mes.