Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
9 herramientas de seguridad API en la primera línea de la ciberseguridad
Por John Breeden II
OSC |
Las interfaces de programación de aplicaciones (API) se han convertido en una parte fundamental de las redes, los programas, las aplicaciones, los dispositivos y casi todo lo demás en el panorama informático. Esto es especialmente cierto para la computación en la nube y móvil, ninguno de los cuales probablemente podría existir en su forma actual sin las API que mantienen todo junto o administran gran parte de la funcionalidad de back-end.
Debido a su confiabilidad y simplicidad, las API se han vuelto omnipresentes en todo el panorama informático. La mayoría de las organizaciones probablemente ni siquiera saben cuántas API están operando dentro de sus redes, especialmente dentro de sus nubes. Es probable que haya miles de API trabajando en empresas más grandes e incluso las organizaciones más pequeñas probablemente dependan de más API de las que creen.
A pesar de lo útiles que se han vuelto las API, su uso también ha creado un peligro. Debido a que existen pocos estándares para la creación de API y debido a que muchos son únicos, no es raro que las API contengan vulnerabilidades explotables. Los delincuentes han descubierto que atacar una API suele ser mucho más fácil que atacar directamente un programa, una base de datos, una aplicación o una red. Una vez comprometida, no es difícil cambiar la funcionalidad de una API, lo que la convierte en una especie de información privilegiada que funciona para el hacker.
El otro gran peligro de las API es que casi siempre tienen un exceso de permisos. Los programadores les otorgan altos permisos para que puedan realizar sus funciones sin interrupción. Pero si un atacante compromete una API, podría usar esos permisos altos para hacer otras cosas, como si hubiera comprometido la cuenta de un administrador humano. Esto se ha convertido en un problema tal que la investigación de Akamai dice que los ataques contra las API representan el 75 % de todos los intentos de robo de credenciales en todo el mundo. Los atacantes saben que las API son vulnerables y ubicuas y las están atacando.
Dada la gravedad del problema con la piratería de API, no sorprende que la cantidad de herramientas de seguridad de API también haya aumentado en los últimos años. Hay docenas de herramientas comerciales diseñadas para proteger las API y también cientos de herramientas gratuitas o de código abierto. Muchos comparten similitudes y funcionalidades con otros tipos de programas de ciberseguridad, pero en cambio están configurados específicamente para la naturaleza única de las API.
En general, las herramientas de seguridad de API se clasifican en una de varias categorías, aunque algunas ofrecen plataformas completas que intentan hacer todo a la vez. El tipo más popular de herramientas de seguridad de API en estos días son aquellas que protegen las API de solicitudes maliciosas, algo así como un firewall de API. Otras herramientas están diseñadas para acceder dinámicamente y evaluar una API específica para buscar vulnerabilidades para que su código pueda fortalecerse contra ataques. Otros simplemente escanean un entorno para que una organización pueda descubrir cuántas API existen dentro de su red, con la idea de que nadie puede proteger lo que no conoce.
Tratar de compilar una lista completa de herramientas de ciberseguridad de API sería difícil dada la cantidad de herramientas que existen. Pero al estudiar las reseñas comerciales y de los usuarios, varias herramientas comienzan a destacar. Las siguientes son algunas de las principales herramientas disponibles para ayudar a reforzar la seguridad de la API con breves descripciones de sus puntos fuertes y funciones. Cientos no están en esta lista, pero esto debería proporcionar una buena instantánea de lo que está disponible y es posible al intentar proteger las API contra el panorama de amenazas cada vez más hostil de la actualidad.
Aquí hay nueve de las mejores herramientas de seguridad disponibles ahora:
Una de las herramientas de seguridad de API más populares, APIsec, está casi completamente automatizada, por lo que es perfecta para organizaciones que recién comienzan a mejorar su seguridad de API. En un entorno de producción donde las API ya están establecidas, APIsec las escaneará y probará contra vulnerabilidades comunes, como ataques de inyección de secuencias de comandos. Pero también hará una prueba de estrés completa de cada API para asegurarse de que esté reforzada contra cosas como los ataques a procesos comerciales que no son tan fáciles de detectar. Si se encuentran problemas, los marcará junto con resultados detallados para los analistas de seguridad.
Los desarrolladores también pueden utilizar APIsec de forma proactiva a medida que se crean las API. De esa manera, cualquier vulnerabilidad se puede anular antes de que una API se active, y APIsec continúa vigilando las cosas después de que se implementa la API, por si acaso.
Astra es una herramienta gratuita, aunque eso significa que el soporte es limitado y los usuarios deberán obtenerlo de GitHub e instalarlo en su entorno. Dicho esto, la herramienta tiene una reputación estelar por ayudar a administrar y proteger un tipo muy específico de API.
Astra se concentra principalmente en las API de transferencia de estado representacional (REST), que pueden ser extremadamente difíciles de probar y asegurar porque cambian con frecuencia. Astra ayuda al integrarse en la canalización de integración continua y entrega continua (CI/CD) de una organización. Garantiza que las vulnerabilidades más comunes que pueden afectar a las API no regresen a las API REST supuestamente seguras, ya que cambian constantemente como parte de su función.
AppKnox es conocido por ser un gran apoyo para su base de usuarios. Para empezar, la plataforma tiene una interfaz muy fácil de usar, pero la compañía también ofrece mucha ayuda al implementarla y usarla. AppKnox se ha abierto camino en muchas organizaciones con pequeños equipos de seguridad porque puede admitir la adición de seguridad API con un esfuerzo mínimo.
Una vez instalado, AppKnox probará las API para detectar problemas comunes, como vulnerabilidades de solicitud HTTP, aperturas para inyecciones de SQL y muchos otros. También escanea todos los recursos que se conectan con las API para asegurarse de que no puedan convertirse en una ruta de ataque válida para los piratas informáticos.
La plataforma Cequence Unified API Protection está diseñada para organizaciones que implementan entornos empresariales que pueden necesitar manejar miles de millones de solicitudes realizadas a sus API todos los días. La plataforma de protección escalable primero detecta todas las API dentro de la organización y luego las archiva en un extenso inventario. A partir de entonces, las API pueden recibir pruebas generales de vulnerabilidades o los equipos de seguridad pueden definir pruebas específicas que deben realizarse en grupos de API. Esto es extremadamente útil no solo para proteger las API, sino también para ayudar a cumplir con las regulaciones gubernamentales o de la industria que requieren protecciones específicas.
También ayuda con el enfoque empresarial de Cequence la capacidad de configurar protecciones automáticas o acciones que deben tomarse en respuesta a un ataque o una interacción sospechosa con una API. Debido a que Cequence maneja esto por sí mismo, no es necesario incluir dispositivos de seguridad externos como firewalls para activar esa protección. Eso evita la carga de esos periféricos externos y acelera el tiempo de respuesta para que una API esté protegida casi instantáneamente contra amenazas en vivo.
Data Theorem API Secure puede inventariar cada API que existe dentro de una red, nube, aplicación o cualquier otro objetivo. Eso lo convierte en una excelente opción para las organizaciones que desean reforzar la seguridad de su API, pero no saben por dónde empezar o incluso cuántas API están usando. Y API Secure también mantiene el inventario de API actualizado, encontrando rápidamente cualquier API nueva a medida que se implementa.
Una vez localizado, API Secure actuará como un pirata informático y probará todas las API en busca de vulnerabilidades. Luego puede marcar esa API para que un humano la examine o repare automáticamente muchas vulnerabilidades por su cuenta.
La plataforma de protección API Salt Security es extremadamente avanzada y fue una de las primeras en utilizar completamente la inteligencia artificial y el aprendizaje automático para detectar y detener las amenazas contra las API. La plataforma hace esto recopilando el tráfico de API en toda una red, analizando qué llamadas se realizan a las API y qué están haciendo en respuesta. Luego compara lo que está viendo localmente con los datos de tráfico almacenados en un motor de big data basado en la nube. Luego, puede detener la mayoría de los ataques y resaltar actividades sospechosas, alertando a los equipos de seguridad humanos o tomando medidas en función de su configuración.
La plataforma continúa aprendiendo con el tiempo y cuanto más tiempo examina una red de API, más precisa se vuelve al determinar cuál es el comportamiento aceptable en esa red específica.
Noname Security ha desarrollado una buena reputación entre las grandes corporaciones que brindan soporte a grandes entornos empresariales. Según los informes, lo utiliza el 20% de las empresas Fortune 500. Fue diseñado para ir más allá de la protección estándar de verificación de vulnerabilidades de API que ofrecen algunas plataformas al analizar los datos de tráfico que se mueven a través de las API. Luego aprovecha la IA y el aprendizaje automático para buscar actividad maliciosa.
Noname Security admite el uso de API comunes y no estándar en sus pruebas. Por ejemplo, es totalmente compatible con las API HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC y gRPC. Mediante el uso de datos de tráfico, incluso puede encontrar, catalogar y proteger las API que no están gestionadas por una puerta de enlace de API o las API locales que no siguen ningún protocolo estándar.
Concentrándose en el entorno de desarrollo, Smartbear ReadyAPI se puede usar no solo para probar las API en busca de vulnerabilidades de seguridad mientras se construyen, sino también para monitorear su rendimiento. De esa manera, los desarrolladores pueden, por ejemplo, ver qué sucede si una API encuentra un gran volumen de datos, lo que también podría ser un problema de seguridad.
Como parte de esa prueba, los usuarios pueden configurar qué tipos de tráfico arrojar a las API en desarrollo, o ReadyAPI puede capturar el tráfico real de la red de la organización y luego usarlo para una prueba muy realista. De forma nativa, ReadyAPI es compatible con Git, Docker, Jenkins, Azure DevOps, TeamCity y más.
Si bien la plataforma de seguridad de API de extremo a extremo de Wallarm fue diseñada para funcionar en un entorno nativo de la nube donde residen muchas API, también puede funcionar para proteger las API que existen en el equipo local. Está diseñado para proteger contra cualquier tipo de amenaza contra una API, desde las que se encuentran en la lista de vulnerabilidades principales del Open Web Application Security Project (OWASP) hasta amenazas específicas como el relleno de credenciales que a menudo se hacen contra las API.
Wallarm también puede ayudar a mitigar los ataques de denegación de servicio distribuido (DDOS) y las incursiones de reconocimiento, o ataques directos, realizados por bots. Dado el hecho de que la mayor parte del tráfico en Internet hoy en día está compuesto por bots, esa es una buena característica para tener en una herramienta de seguridad.
La plataforma también proporciona una mirada profunda y una descripción general de toda la cartera de API de una organización en función del tráfico de usuarios, lo que puede proporcionar información no solo sobre la seguridad, sino también sobre cómo la organización utiliza las API y qué áreas pueden necesitar mejorar. Ese no es el propósito principal de la plataforma Wallarm, pero los informes detallados sin duda serían útiles en otras áreas fuera de la seguridad como una bonificación por usar la plataforma.
John Breeden II es un periodista y crítico galardonado con más de 20 años de experiencia cubriendo tecnología. Es el director ejecutivo de Tech Writers Bureau, un grupo que crea contenido de liderazgo de pensamiento tecnológico para organizaciones de todos los tamaños.
Derechos de autor © 2023 IDG Communications, Inc.
A continuación, lea estoAnterior: Estrógeno cíclico/anti