De acuerdo a un informe de CloudflareDebido a la falta de visibilidad de las API utilizadas por las empresas, se ha vuelto más complejo gestionarlas y protegerlas contra el abuso. El informe, basado en los patrones de tráfico observados por la red del proveedor entre octubre de 2022 y agosto de 2023, encontró que las empresas no logran defenderse completamente o dependen de una protección API incompleta, sin visibilidad en tiempo real.

“Es difícil proteger las API contra el abuso. Requieren un contexto empresarial, métodos de descubrimiento y controles de verificación de acceso más profundos que otros servicios de seguridad de aplicaciones web”, explicó el proveedor en su informe. "Aquellos que implementan seguridad API sin tener una imagen precisa y en tiempo real de su entorno API pueden bloquear involuntariamente el tráfico legítimo". La red Cloudflare en la que se basa el informe incluye datos de su Web Application Firewall (WAF), protección DDoS, gestión de bots y servicios de puerta de enlace API.

Índice
  1. La API oculta abre la superficie de ataque
  2. El ataque DDoS, la principal amenaza

La API oculta abre la superficie de ataque

En su análisis, Cloudflare concluye que el tráfico API supera el resto del tráfico de Internet. “Los desarrolladores de aplicaciones utilizan cada vez más arquitecturas modernas basadas en microservicios y necesitan API para acceder a servicios, datos u otras aplicaciones para proporcionar una funcionalidad más rica a los usuarios de las aplicaciones. sus aplicaciones”, dijo Melinda Marks, analista senior de la consultora ESG. "Pero eso significa más superficie de ataque, por lo que si las API no son seguras, se crea un punto de entrada para acceder a esos servicios, datos u otras aplicaciones", añadió. Cloudflare también observó que muchas empresas no tienen un inventario completo de sus API, lo que dificulta su gestión. Las herramientas de aprendizaje automático del proveedor descubrieron casi un 31 % más de API de transferencia de estado representacional (REST) ​​que las observadas por los identificadores de sesión proporcionados por el cliente.

Según Cloudflare, las aplicaciones que no han sido administradas o protegidas por la empresa que las utiliza, también llamadas API sombra, a menudo son introducidas por desarrolladores o usuarios individuales para realizar funciones comerciales específicas. “Un estudio que realizamos encontró altos porcentajes (67%) de API abiertas al público, API que conectan aplicaciones con socios (64%) y API que conectan microservicios (51%), así como altas tasas de actualizaciones de API, incluido el 35%. diariamente y 40% semanalmente”, dijo Melinda Marks. "Por lo tanto, este problema está relacionado con el aumento constante del número de API y aumenta el riesgo de que los piratas informáticos quieran aprovechar vulnerabilidades que generalmente son resultado de negligencia", añadió.

El ataque DDoS, la principal amenaza

El 52% de todos los errores de API procesados ​​por Cloudflare se atribuyeron al código de error 429, que es un código de estado HTTP que alerta sobre solicitudes excesivas. Este hallazgo está respaldado por el hecho de que el 33 % de las medidas de mitigación de API implicaron el bloqueo de la denegación de servicio distribuido (DDoS). "Los ataques DoS y DDoS a menudo se subestiman u olvidan, aunque se trata de un área importante", afirmó el analista. "Por lo tanto, la capacidad de bloquear ataques DoS/DDoS suele ser una prioridad para la seguridad de API". Otros errores principales de API incluyen solicitudes incorrectas (código de error 400) (13,8%), solicitudes no encontradas (código de error 404) (10,8%) y solicitudes no autorizadas (código de error 401) (10,3%). "Las aplicaciones actuales son más complejas y ricas en funciones, con un número cada vez mayor de API que ayudan a ofrecer funcionalidades complejas, pero esto aumenta el riesgo de seguridad porque cada API es una superficie de ataque", afirmó Melinda Marks.

"Nuestros estudios recientes han demostrado que en los últimos 12 meses, el 92% de las empresas han experimentado al menos un incidente de seguridad de API, lo que ha resultado en exposición de datos, apropiación de cuentas, ataque de denegación de servicio, etc. Según Cloudflare, las empresas pueden protegerse contra Abuso de API mediante la implementación de prácticas que pueden incluir la unificación de la gestión, el rendimiento y la seguridad de las API con la conectividad en la nube, la implementación de un modelo de "seguridad positiva" con la puerta de enlace API que solo permita el tráfico reconocido como "bueno" en lugar de prohibir el tráfico reconocido como "malo", la uso de tecnologías de aprendizaje automático para mitigar costos y seguridad, y medir la madurez de API a lo largo del tiempo.