Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jul 13, 2023
Google: Con Cloud Comes API y dolores de cabeza de seguridad
Roberto Lemos | 27 de diciembre de 2022 Las interfaces de programación de aplicaciones web (API) son
Roberto Lemos | 27 de diciembre de 2022
Las interfaces de programación de aplicaciones web (API) son el pegamento que mantiene unidas las aplicaciones y la infraestructura en la nube, pero estos puntos finales están cada vez más bajo ataque, con la mitad de las empresas reconociendo un incidente de seguridad relacionado con API en los últimos 12 meses.
Según una encuesta realizada por Google Cloud, los problemas de seguridad más problemáticos que afectan el uso de las API por parte de las empresas son las configuraciones incorrectas de seguridad, las API y los componentes obsoletos, y los bots de spam o abuso: el 40 % de las empresas sufre un incidente debido a una configuración incorrecta y un tercio lo enfrenta. con estos dos últimos temas.
Dos tercios de las empresas (67 %) encontraron vulnerabilidades y problemas de seguridad relacionados con la API durante la fase de prueba, pero la mayoría de las empresas, más del 60 %, descubrieron problemas durante el proceso de desarrollo de software, durante la implementación de aplicaciones y mediante el uso de monitoreo en tiempo real. , según la encuesta a más de 500 líderes tecnológicos.
A pesar de estos problemas, más de las tres cuartas partes (77 %) confían en que detectarán los problemas y dicen que tienen las herramientas y soluciones de API necesarias, dice Vikas Anand, jefe de producto para plataformas de aplicaciones comerciales en Google Cloud.
"Hay una percepción de confianza con las herramientas existentes que no se corresponde con la evidencia", dice Anand. "El panorama de la seguridad ha cambiado: con el espectacular crecimiento del volumen de API, las API son el nuevo campo de batalla para la seguridad de las aplicaciones".
El interés en las API web surge cuando las empresas han acelerado sus transformaciones digitales en los últimos dos años luego de las interrupciones comerciales causadas por la pandemia de coronavirus. Casi todas (93 %) de las empresas encuestadas por Google en un segundo estudio de 770 líderes tecnológicos caracterizaron sus operaciones como basadas "principalmente en la nube", frente al 83 % de hace dos años.
Por el contrario, los responsables de la toma de decisiones empresariales que caracterizan sus operaciones como "principalmente en las instalaciones" se redujeron a la mitad del 16% al 7% en el mismo período.
Según una estimación, los incidentes de seguridad relacionados con las API causaron pérdidas de entre 12.000 y 23.000 millones de dólares desde 2020. Y la superficie de ataque es cada vez mayor: la gran empresa promedio tiene tres veces más API (15.600) que hace un año.
Si bien el 46 % de las organizaciones encuestadas reservaron el uso de las API solo dentro de su propia organización, más de la mitad (54 %) permite que los socios, clientes y otros desarrolladores externos usen las API como una forma de estimular el desarrollo de terceros, descubrió Google.
"Las API son fundamentales para la modernización de aplicaciones y la transformación digital porque, junto con los microservicios, permiten la entrega rápida de nuevas experiencias a los clientes, al tiempo que reducen el costo de desarrollo y mantenimiento", afirmó Google Cloud en su "The Digital Crunch Time: 2022 State of Informe APIs y Aplicaciones".
Debido a que las API son fundamentales para su transformación digital, las empresas priorizaron sabiamente las inversiones en seguridad de API, con el 60 % apuntando a mejorar su capacidad para identificar amenazas de seguridad de manera proactiva y el 57 % adoptando más automatización y orquestación de seguridad, según el segundo informe de Google Cloud, "API Seguridad: información más reciente y tendencias clave".
Aproximadamente la mitad de las empresas también tienen la intención de expandir su monitoreo en tiempo real de los servidores API y usar sistemas de inteligencia artificial y aprendizaje automático (AI/ML) para descubrir mejor las fallas y detectar ataques.
“A medida que las organizaciones pasen de ser reaccionarias a abordar estas amenazas de manera proactiva, veremos que los modelos AI/ML se adoptan más ampliamente dentro de las herramientas de seguridad”, dice Anand. "Las reglas basadas en ML son la evolución natural de esto: no solo automatizar, sino aprender continuamente de esas experiencias".
Como era de esperar, las empresas que han tenido más experiencia con las API también han tenido más éxito con su transición a más operaciones nativas de la nube.
Alrededor de un tercio de las empresas (34 %) se clasificaron con un enfoque maduro de las API, impulsando una estrategia de API primero en todas las organizaciones y utilizando una plataforma de administración de API. Esas empresas también tuvieron más éxito en el aumento de la eficiencia, una mejor colaboración y una mayor agilidad, en comparación con organizaciones con menor madurez de API.
Google Cloud definió las organizaciones de baja madurez como aquellas con API en silos, sin administración centralizada de API y quizás una puerta de enlace de API para seguridad.
"Nuestro estudio muestra que las organizaciones de API maduras están considerablemente por delante en sus esfuerzos de transformación digital en comparación con las organizaciones de API de baja madurez", según el proveedor. "Los líderes tecnológicos ya comprenden el valor que aportan las API".
Para las empresas que se trasladan a una infraestructura de aplicaciones basada en API, la seguridad de API se considera el componente más importante de un programa de API, y el 66 % de las empresas lo consideran importante, según el informe de Google. Otras preocupaciones principales incluyeron el análisis del rendimiento de la API y la gobernanza de la API.
"La seguridad de API en última instancia debe ser parte de la estrategia general de seguridad de extremo a extremo", dice Anand. "Las integraciones perfectas entre todos los productos de seguridad facilitan la mejora del valor de seguridad general de su cartera".
Lea la historia completa en nuestro sitio hermano Dark Reading.
Más información sobre formatos de texto