Apr 28, 2023
Informe de FireTail encuentra que las infracciones de seguridad de la API son pocas pero letales
Inicio » Security Boulevard (Original) » Informe de FireTail encuentra seguridad de API
Inicio » Security Boulevard (Original) » Informe de FireTail encuentra que las infracciones de seguridad de la API son pocas pero letales
Un análisis de las infracciones de seguridad cibernética en 2022 realizado por FireTail, un proveedor de una plataforma para proteger las interfaces de programación de aplicaciones (API), encontró solo 12 infracciones registradas públicamente que involucran API, y seis más se revelaron hasta ahora en 2023.
Sin embargo, el tamaño medio promedio de la exposición a la violación de datos de la API es de más de 10 millones de registros por incidente. Dado que el costo total de un solo registro violado es de $ 180, el costo total de las violaciones de seguridad de la API fácilmente puede llegar a los $ 85 mil millones, según el informe.
Las dos categorías principales de violaciones de datos que involucran la seguridad de API son la autorización en 135 millones de registros, o el 28 % de todos los registros violados, y la autenticación, en 105 millones de registros, o el 22 % de todos los registros violados.
El CEO de FireTail, Jeremy Snyder, dijo que con más del 85 % del tráfico de Internet moviéndose a través de API, ahora es solo cuestión de tiempo antes de que aumente la cantidad de violaciones de seguridad de API y el costo total. Desafortunadamente, el nivel de enfoque en la seguridad de la API no se corresponde con el riesgo potencial para el negocio, agregó.
Además, el nivel de experiencia en seguridad de API disponible sigue siendo limitado. Por ejemplo, una consideración que a menudo se pasa por alto en el proceso de autenticación es la necesidad de validar las credenciales de autenticación repetidamente y vincular las credenciales a una sesión activa. Las credenciales de larga duración, como las claves API estáticas, están sujetas a la proliferación de secretos. Algunos mecanismos de autenticación comunes pueden incluso introducir vulnerabilidades en las API.
Como tal, es importante que las API estén diseñadas para forzar la autenticación de forma regular en lugar de solo verificar si un token se ajusta al formato esperado.
No siempre está claro quién es responsable de la seguridad de la API. Pero a medida que los ciberdelincuentes aprecian la cantidad de datos que se pueden extraer a través de una API, existe una clara necesidad de una mayor colaboración entre los equipos de ciberseguridad encargados de proteger esas API y los desarrolladores que las crean.
Aún más desafiante, la cantidad de API que se implementan en entornos de producción se ha expandido enormemente, principalmente gracias al aumento de las aplicaciones basadas en microservicios que hacen un uso extensivo de ellas. Tampoco es raro que los desarrolladores hayan implementado una llamada API zombie que ya no es compatible, pero que aún puede ser accedida y manipulada por actores de amenazas externos. Además, a menudo hay API no autorizadas que se han configurado sin que nadie en TI las conozca. El mayor problema que encontrarán los equipos de seguridad cibernética con las API es que no es posible proteger lo que no conocen, señaló Snyder.
En teoría, al menos, los equipos de desarrollo de aplicaciones que adopten las prácticas de DevSecOps para crear e implementar aplicaciones asumirán una mayor responsabilidad en la protección de las API, pero siempre será el equipo de ciberseguridad el responsable de cualquier infracción. Sin embargo, históricamente, los equipos de ciberseguridad se han centrado más en proteger los perímetros y los puntos finales, por lo que la mayor parte del presupuesto asignado a la ciberseguridad no se aplica a las API.
Eso puede cambiar en los próximos meses a medida que las infracciones de API se vuelvan más comunes. Mientras tanto, los equipos de seguridad cibernética deberían, como mínimo, crear un inventario de las API que conocen y están encargadas de proteger, independientemente de quién las haya creado.