Las API son uno de los objetivos preferidos de los ciberdelincuentes
- Seguridad Inteligente
©Freepik
Las amenazas a las API no sólo ponen en peligro la reputación de la empresa y su cuenta de resultados, también pueden retrasar importantes proyectos empresariales. Es vital gestionar el riesgo de toda la cartera de API, y la cartera de soluciones de AppSec de Fortify proporciona el descubrimiento y las pruebas de API que se necesitan.
La interfaz de programación de aplicaciones (API) es el pegamento que une diversos componentes de software para crear nuevas experiencias de usuario. Pero al proporcionar una vía directa a las bases de datos back-end, las API también son un objetivo atractivo para los ciberdelincuentes. Según un estudio reciente, el 94% de las organizaciones mundiales han experimentado problemas de seguridad de las API en producción durante el último año, y el 17% ha sufrido una brecha relacionada con alguna API.
Casi todos (97%) los líderes mundiales de TI coinciden en que ejecutar con éxito una estrategia de API es vital para los ingresos y el crecimiento futuros. Sin embargo, el hecho de que su número se haya disparado en los últimos años, ha provocado que muchos despliegues no estén documentados ni protegidos. En una gran empresa puede haber decenas o incluso cientos de miles de API orientadas a clientes y socios.
Hay docenas de formas en las que los ciberdelincuentes pueden explotar una API. Según la lista OWASP API Security Top 10 2023 OWASP los tres principales riesgos de seguridad de las API son:
--Broken Object Level Authorization (BOLA): La API no verifica si un solicitante debe tener acceso a un objeto. Esto puede dar lugar al robo, modificación o borrado de datos. Los ciberdelincuentes sólo tienen que ser conscientes de que el problema existe ya que no es necesario hackear el código ni robar contraseñas para explotar BOLA.
--Broken Authentication: Protecciones de autenticación ausentes y/o mal implementadas. La autenticación de las API puede ser compleja y confusa para muchos desarrolladores, que pueden tener ideas equivocadas sobre cómo implementarla. El propio mecanismo de autenticación también está expuesto a cualquiera, lo que lo convierte en un objetivo atractivo.
--Broken Object Property Level Authorization (BOPLA): Los atacantes son capaces de leer o cambiar los valores de las propiedades de los objetos a los que se supone que no pueden acceder. Los endpoints de la API son vulnerables si exponen las propiedades de un objeto que se consideran sensibles o si permiten que un usuario cambie, añada o elimine el valor de la propiedad de un objeto sensible.
Es vital la incorporación de la seguridad a cualquier estrategia de API desde el principio, lo que significa saber dónde están todas las API y mitigar los errores, y Fortify proporciona procesos de pruebas y descubrimiento de API integrales para cualquier aplicación, durante todo el ciclo de vida del software. La cartera de soluciones de AppSec de Fortify ofrece expansión constante de la cobertura de vulnerabilidades específicas de API que afectan a áreas como los tokens de portador o la introspección de GraphQL; detecta vulnerabilidades relacionadas con el uso de marcos de API, SDK y funciones sin servidor; y amplía la capacidad de asistencia general ante vulnerabilidades SAST y DAST.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de IT Híbrida incluyen diferentes vías de actuación: la gestión de aplicaciones, la gestión de las operaciones de IT (ITSM), la modernización de aplicaciones y la ciberseguridad inteligente. Puedes obtener más información sobre cómo abortar estos retos e innovar haciendo clic en cada una de las líneas de acción o visitando el sitio web de Micro Focus en este enlace.
