La adopción de soluciones de seguridad de API integral queda a remolque de estas necesidades
Según una investigación reciente de SANS Institute, a pesar del aumento del número de amenazas dirigidas a aplicaciones y API, la mayoría de las empresas aún no utilizan controles específicos de API que proporcionen una cobertura amplia.
Una carencia importante de herramientas de pruebas de seguridad de API
La encuesta de SANS sobre seguridad de API de 2023 reveló que menos del 50 % de los participantes cuentan con herramientas de pruebas de seguridad de API . Un número aún inferior (el 29 %) tiene herramientas de detección de API. Además, el informe indica que el aprovechamiento de los controles de seguridad de API que se incluyen en los servicios de DDoSy de balanceo de carga son "un área infrautilizada": solo el 29 % de los encuestados afirmó utilizar esas funciones.
Es una tendencia preocupante teniendo en cuenta el incremento de los ataques. Como Akamai informó en su último informe sobre el estado de Internet, Atravesando las brechas de seguridad: el aumento de los ataques a aplicaciones y API, 2022 fue un año que batió un récord de ataques a aplicaciones y API. Sin embargo, quizás no debería sorprendernos la falta de adopción de herramientas de API con una cobertura completa,, teniendo en cuenta que los participantes en la encuesta SANS opinaron que estas constituyen los principales riesgos de seguridad para su organización.
Para el informe, publicado en julio de 2023, se encuestó a 231 participantes, la mayoría de ellos de Estados Unidos. El 78 % de los participantes desempeña actualmente un papel importante en la seguridad de las aplicaciones, y un 15 % piensa involucrarse en un futuro.
No se da prioridad a los riesgos de API
Cuando se les pidió que clasificaran los tres riesgos principales para su organización, los participantes mencionaron con más frecuencia el "Phishing para obtener credenciales reutilizables", seguido de los "Atacantes que explotan la falta de parches" y los "Atacantes que explotan aplicaciones o API vulnerables". En último lugar en la clasificación ponderada estaban los "Servidores/servicios mal configurados". Está claro que, aunque las empresas comprenden los riesgos que pueden presentar las API, no dan prioridad a la inversión, en este área.
Diversos controles y procesos de seguridad
“Detectar, evaluar y mitigar los riesgos de API es un problema complejo que requiere diversos controles y procesos de seguridad para proporcionar una cobertura completa", escribe John Pescatore, director de tendencias de seguridad emergentes de SANS Institute, en el informe. “Las herramientas de nivel de aplicación que ya se utilizan de forma generalizada pueden proporcionar una cobertura parcial; los controles específicos de seguridad de API que proporcionan una cobertura completa aún no se utilizan de forma generalizada".
Conocimiento de cómo y qué número de API se ejecutan
El informe SANS también sugiere que las empresas realizan un trabajo deficiente ya que incluso desconocen cuántas API se ejecutan en sus entornos. Más de dos tercios de los participantes calcularon que la precisión del inventario de las API que se ejecutaban en producción era inferior al 75 %.
Durante años, las empresas han tenido dificultades para obtener un inventario preciso de los activos, incluidas las redes, los ordenadores y las aplicaciones. Deben tener un mayor control para conocer dónde y qué numero de API se ejecutan. El informe dice: "... Debido a que las API vulnerables se están convirtiendo en el punto de acceso más común para los ataques, la precisión del inventario de API debería aumentar y la detección debería realizarse con más frecuencia".
Los compradores buscan en diferentes direcciones una solución para la seguridad de las API
Hubo poco consenso sobre la adquisición de nuevas herramientas para cerrar algunas de estas brechas de seguridad de API. Cuando se preguntó a los participantes qué soluciones, que no estén en uso actualmente, tenían previsto implementar sus empresas en los siguientes dos años, las respuestas incluyeron una amplia variedad de opciones:
- Puertas de enlace web seguras (14 %)
- Pruebas dinámicas de vulnerabilidad de aplicaciones (13 %)
- Firewalls de aplicaciones web (13 %)
- Funciones de seguridad de aplicaciones/API en redes de distribución de contenido (13 %)
- Prueba de seguridad de API (12 %)
- Detección de API (10 %)
Con los compradores en busca de tantas soluciones diferentes para la seguridad de las aplicaciones y las API, los proveedores que pueden ofrecer soluciones completas, como Akamai, son mucho más persuasivos. Las empresas obtienen ventajas significativas si pueden acceder a la gestión de bots, firewalls de aplicaciones web y otros requisitos desde un proveedor que también cuente con una sólida organización de servicios que abarque varias disciplinas.
Tecnología de detección y respuesta extendidas
Es más, la aparición de una nueva tecnología que utiliza la detección y respuesta extendidas (XDR) para proporcionar visibilidad de toda la actividad de las API, determinar la situación de riesgo y comprender el comportamiento normal y abusivo para detener las amenazas, presenta importantes ventajas de protección de las API.
La reciente adquisición de Neosec por parte de Akamai refuerza esta tendencia. Ahora, las empresas pueden alcanzar niveles sin precedentes de análisis del comportamiento de las API combinando el análisis de (un mínimo de) 30 días de actividad de las API con la visibilidad que proporciona la red de distribución de contenido de Akamai.
Los resultados de la encuesta SANS también proporcionan antecedentes interesantes al examinar la publicación de los nuevos 10 principales riesgos de seguridad de las API según OWASP, que agregó varios riesgos nuevos a su lista, incluido el consumo de recursos sin restricciones y el consumo no seguro de API.
Acuerdo sobre marcos
Hablando de OWASP: la encuesta sugiere cierto acuerdo sobre los marcos que los profesionales de la seguridad consideran valiosos. Más de la mitad de los participantes citaron los 10 principales riesgos de seguridad de las Aplicación web según OWASP (el 55 %), el marco de MITRE ATT&CK (el 55 %) y los 10 principales riesgos de seguridad de las API según OWASP (el 52 %) como los métodos que utilizan para definir los riesgos de las aplicaciones/API. Cloud Security Alliance (40 %) y Center for Internet Security Critical Security Controls (el 33%) completaron los cinco primeros puestos.
La formación en seguridad para desarrolladores sigue siendo una prioridad
El informe también reveló que, en general, las empresas siguen centrándose en proporcionar formación sobre seguridad a los desarrolladores: más del 75 % de las organizaciones notificaron que proporcionaban formación en seguridad al personal de desarrollo. Por otra parte, el informe también reveló que más del 70 % de los participantes afirmaron haber ofrecido formación en seguridad de las aplicaciones al menos al 25 % de su equipo de seguridad.
Visibilidad y defensa
App & API Protector de Akamai ofrece una completa solución de aplicaciones y API para la protección de aplicaciones web y firewalls, la gestión de bots, la seguridad de API y la protección frente a DDoS, lo que proporciona a las empresas visibilidad de las amenazas de su propio entorno, además de sólidas defensas. Identifica rápidamente las vulnerabilidades y mitiga las amenazas en todo el entorno web y de API, incluso en las arquitecturas distribuidas más complejas.