PREOCUPACION DE LAS EMPRESAS POR LA SEGURIDAD DE LAS API

Los profesionales de la ciberseguridad están frustrados por la cantidad de tiempo y atención que deben dedicar a la seguridad de las API y les preocupa que sus defensas aún deban mejorarse, según Corsha.

Los investigadores encuestaron recientemente a más de 400 profesionales de seguridad e ingeniería para conocer sus prácticas de administración de secretos de API y los desafíos que enfrentan para frustrar los ataques de API. Entre los puntos clave:

• El 86 % de los encuestados dedica hasta 15 horas a la semana a proporcionar, gestionar y gestionar secretos.
• El 53 % ya experimentó una filtración de datos con acceso no autorizado a sus redes o aplicaciones debido a tokens de API comprometidos.
• El 72 % utiliza una solución de gestión de secretos, pero el 56 % sigue preocupado por una posible filtración de datos debido a sus prácticas actuales de gestión de secretos.

“Los equipos de seguridad e ingeniería se ven obligados a desviar su atención de la ingeniería avanzada para centrarse en la gestión de secretos, pero sus organizaciones siguen siendo vulnerables a los atacantes a través de ataques laterales y secretos de API filtrados o comprometidos para obtener acceso ilegítimo a datos confidenciales”, dijo. Jared Elder , CGO de Corsha.

“Los datos lo son todo y el riesgo potencial de violaciones de datos asociadas con los secretos de API filtrados es claramente alto y creciente. Sin embargo, con una explosión de credenciales para aprovisionar, rotar y administrar, los buenos se encuentran constantemente detrás de la bola ocho”, agregó Elder.

Un panorama de amenazas cambiante

El uso de API se ha disparado en los últimos años a medida que las empresas continúan expandiendo su adopción de tecnologías nativas y ecosistemas impulsados ​​por API, como microservicios y arquitecturas sin servidor, infraestructuras de nube híbrida, canalizaciones de CI/CD y una serie de otras aplicaciones y servicios que están enviando y recibiendo información confidencial a través de las API.

Según la encuesta, el 44 % de los encuestados alojan sus servicios de API en varias nubes. Para muchas empresas, esto a menudo significa soluciones de gestión de secretos inconexas en entornos dispares.

Como resultado, los encuestados dedican una cantidad excesiva de tiempo a administrar tokens de API. El 78 % informó que administra al menos 250 tokens, claves o certificados de API en sus redes. Desafortunadamente, sus estrategias de seguridad para la comunicación basada en API no pueden mantenerse al día con el nivel de escala y automatización que es posible hoy en día.

Enfoques obsoletos para un desafío de seguridad moderno

Todas las API tienen una cosa en común: conectan servicios para facilitar la transferencia de datos. Eso los convierte en un objetivo favorito para los piratas informáticos a medida que aumenta la cantidad de API que dependen de los secretos y los flujos de trabajo (por ejemplo, el suministro y el intercambio de secretos, la administración, el monitoreo y el control de secretos) se vuelven más difíciles.

Según la encuesta, los tres principales puntos débiles de la gestión de secretos de API son:

• Trabajar con autoridades de certificación (44 %)
• Secretos rotativos (37%)
• Secretos de aprovisionamiento (36%)

Los métodos que los encuestados usan más comúnmente para abordar estos puntos débiles suelen ser anticuados, manuales, propensos a errores y engorrosos.

Si bien muchos equipos de seguridad asignan derechos específicos a claves API, tokens y certificados, la encuesta descubrió que más del 42 % no lo hace. Eso significa que están otorgando acceso de todo o nada a cualquier usuario que tenga estas credenciales, que aunque es el camino de menor resistencia en la administración de acceso, también aumenta el riesgo de seguridad.

Los investigadores de Corsha también encontraron que el 50% de los encuestados tienen poca o ninguna visibilidad de las máquinas, dispositivos o servicios (es decir, clientes) que aprovechan los tokens, claves o certificados de API que sus organizaciones están aprovisionando. La visibilidad limitada puede llevar a que los secretos se olviden, se descuiden o se dejen atrás, lo que los convierte en objetivos principales para que los malos actores los exploten sin ser detectados por las herramientas de seguridad tradicionales y las mejores prácticas.

Otra señal de alerta: aunque el 54 % de los encuestados rotan sus secretos al menos una vez al mes, el 25 % admite que pueden tardar hasta un año en rotar los secretos. La naturaleza estática y de larga duración de estos secretos del portador los convierte en objetivos principales para los adversarios, al igual que la naturaleza estática de las contraseñas de las cuentas en línea.

Prácticas recomendadas de seguridad de API

El informe también describe lo que las organizaciones pueden hacer para implementar procesos efectivos de gestión de secretos, que incluyen:

• Integrar un buen administrador de secretos para obtener una visibilidad general de todos los secretos
• Usar mTLS cuando y donde sea posible
• Siempre establezca un vencimiento breve para los secretos cuando sea posible
• Siempre firme y verifique tokens
• No almacene ni transmita secretos en texto sin formato

“Hoy en día, incluso la implementación de gestión de secretos moderna más robusta no es suficiente para evitar que se exploten las API, lo que explica por qué más de la mitad de los encuestados destacaron la preocupación continua de sufrir una posible violación de datos debido a sus prácticas actuales de gestión de secretos”. dijo Scott Hopkins, director de operaciones de Corsha.

“La gran carga de trabajo administrativo y los procesos excesivamente manuales para mantener una buena higiene de seguridad en torno a la gestión de secretos crean importantes oportunidades de error o descuido. Las organizaciones se beneficiarían de una respuesta más sólida, automatizada y altamente escalable a sus problemas de autenticación de API que pueden integrarse fácilmente en cualquier entorno”, concluyó Hopkins.

También es importante que los equipos de seguridad y desarrollo reconozcan que el riesgo está cambiando predominantemente de humano a máquina y de máquina a máquina y consideren qué se debe hacer para dar cuenta de esta transformación.