[26/01/2023] Las interfaces de programación de aplicaciones (API, por sus siglas en inglés) se han convertido en una parte fundamental de redes, programas, aplicaciones, dispositivos y casi todo lo demás en el panorama informático. Esto es especialmente cierto en el caso de la computación en nube y móvil, ninguna de las cuales podría probablemente existir en su forma actual sin que las API lo mantuvieran todo unido, o gestionaran gran parte de la funcionalidad backend.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Por su fiabilidad y sencillez, las API se han convertido en omnipresentes en el panorama informático. Es probable que la mayoría de las organizaciones ni siquiera sepan cuántas API funcionan en sus redes, especialmente en sus nubes. Es probable que haya miles de API funcionando dentro de las grandes empresas, e incluso las organizaciones más pequeñas probablemente dependen de más API de las que creen.
El peligro de las API
Tan útiles como se han vuelto las API, su uso también ha creado un peligro. Dado que existen pocas normas para la creación de API y que muchas de ellas son únicas, no es raro que contengan vulnerabilidades explotables. Los delincuentes han descubierto que atacar una API suele ser mucho más fácil que atacar directamente un programa, una base de datos, una aplicación o una red. Una vez comprometida, no es difícil cambiar la funcionalidad de una API, convirtiéndola en una especie de infiltrado que trabaja para el hacker.
El otro gran peligro de las API es que casi siempre tienen demasiados permisos. Los programadores les otorgan permisos elevados para que puedan realizar sus funciones sin interrupciones. Pero si un atacante compromete una API, podría utilizar esos permisos elevados para hacer otras cosas, igual que si hubiera comprometido la cuenta de un administrador humano. Esto se ha convertido en un problema tan grave que, según un estudio de Akamai, los ataques contra las API representan el 75% de todos los intentos de robo de credenciales en todo el mundo. Los atacantes saben que las API son vulnerables y omnipresentes, y se lanzan a por ellas.
El auge de las herramientas de seguridad para las API
Dada la gravedad del problema de la piratería de las API, no es de extrañar que el número de herramientas de seguridad de las API también haya florecido en los últimos años. Existen docenas de herramientas comerciales diseñadas para proteger las API, y cientos de herramientas gratuitas o de código abierto. Muchas comparten similitudes y funcionalidades con otros tipos de programas de ciberseguridad, pero en cambio están configuradas específicamente para la naturaleza única de las API.
En general, las herramientas de seguridad de las API se clasifican en una de varias categorías, aunque algunas ofrecen plataformas completas que intentan hacerlo todo a la vez. El tipo más popular de herramientas de seguridad de las API hoy en día son las que protegen las API de solicitudes maliciosas, algo así como un firewall de API. Otras herramientas están diseñadas para acceder dinámicamente a una API específica y evaluarla en busca de vulnerabilidades, de modo que su código pueda reforzarse contra los ataques. Otras simplemente escanean un entorno para que una organización pueda descubrir cuántas API existen en su red, con la idea de que nadie puede proteger lo que no conoce.
Intentar recopilar una lista completa de herramientas de ciberseguridad para las APIs sería difícil, dado el gran número que existen. Pero al estudiar las reseñas tanto de usuarios como comerciales, varias herramientas empiezan a destacar. A continuación, se presentan algunas de las principales herramientas disponibles para ayudar a reforzar la seguridad de las API, con breves descripciones de sus puntos fuertes y funciones. Cientos de ellas no aparecen en esta lista, pero esto debería proporcionar una buena instantánea de lo que está disponible y es posible cuando se trata de proteger las API contra el panorama de amenazas cada vez más hostil de hoy en día.
He aquí nueve de las mejores herramientas de seguridad disponibles en la actualidad:
APIsec
APIsec, una de las herramientas de seguridad de API más populares, está casi totalmente automatizada, por lo que es perfecta para organizaciones que estén empezando a mejorar la seguridad de sus API. En un entorno de producción en el que las API ya están establecidas, APIsec las escaneará y las probará contra vulnerabilidades comunes como los ataques de inyección de scripts. Pero también someterá a cada API a pruebas de estrés completas para asegurarse de que está reforzada contra cosas como los ataques a procesos empresariales, que no son tan fáciles de detectar. Si se detectan problemas, los señalará junto con los resultados detallados para los analistas de seguridad.
APIsec también puede ser utilizado de forma proactiva por los desarrolladores a medida que se crean las API. De este modo, cualquier vulnerabilidad puede eliminarse antes de que una API se ponga en marcha, y APIsec sigue vigilando las cosas después de que la API se despliegue, por si acaso.
Astra
Astra es una herramienta gratuita, aunque eso significa que el soporte es limitado y que los usuarios tendrán que descargarla de GitHub e instalarla en su entorno. Dicho esto, la herramienta tiene una reputación estelar por ayudar a gestionar y proteger un tipo muy específico de API.
Astra se concentra principalmente en las API de transferencia de estado representacional (REST), que pueden ser extremadamente difíciles de probar y proteger porque cambian con frecuencia. Astra ayuda integrándose en el proceso de integración continua y entrega continua (CI/CD) de una organización. Garantiza que las vulnerabilidades más comunes que pueden afectar a las API no se cuelen en las API REST supuestamente seguras, ya que cambian constantemente como parte de su función.
AppKnox
AppKnox es conocida por ser muy solidaria con su base de usuarios. Para empezar, la plataforma tiene una interfaz muy fácil de usar, pero la empresa también ofrece mucha ayuda a la hora de desplegarla y utilizarla. AppKnox se ha abierto camino en muchas organizaciones con pequeños equipos de seguridad porque puede soportar la adición de seguridad API con un esfuerzo mínimo.
Una vez instalado, AppKnox comprobará las API en busca de problemas comunes como vulnerabilidades en las peticiones HTTP, aperturas para inyecciones SQL y muchos otros. También analiza todos los recursos que se conectan con las API para garantizar que no puedan convertirse en una vía de ataque válida para los hackers.
Cequence Unified API Protection
La plataforma Cequence Unified API Protection está diseñada para organizaciones que despliegan entornos empresariales que pueden necesitar gestionar miles de millones de peticiones realizadas a sus API cada día. La plataforma de protección escalable detecta en primer lugar todas las API de la organización y las archiva en un amplio inventario. A partir de ahí, las API pueden someterse a pruebas generales para detectar vulnerabilidades, o los equipos de seguridad pueden definir pruebas específicas que deben realizarse en grupos de API. Esto es extremadamente útil no solo para asegurar las API, sino también para ayudar a cumplir con las regulaciones gubernamentales o de la industria que requieren protecciones específicas para estar en su lugar.
También ayuda al enfoque empresarial de Cequence la capacidad de establecer protecciones automáticas o acciones que deben tomarse en respuesta a un ataque o una interacción sospechosa con una API. Como Cequence gestiona esto por sí mismo, no hay necesidad de incluir dispositivos de seguridad externos como firewalls para activar esa protección. Eso mantiene la carga fuera de esos periféricos externos, y acelera el tiempo de respuesta para que una API esté casi instantáneamente protegida de amenazas en vivo.
Data Theorem API Secure
Data Theorem API Secure puede inventariar todas las API que existen en una red, nube, aplicación o cualquier otro objetivo. Esto lo convierte en una gran opción para las organizaciones que desean reforzar la seguridad de sus API, pero no saben por dónde empezar o ni siquiera cuántas API están utilizando. Además, API Secure mantiene actualizado el inventario de API, y localiza rápidamente las nuevas API a medida que se despliegan.
Una vez localizada, API Secure actuará como un hacker y comprobará cada API en busca de vulnerabilidades. Puede entonces marcar esa API para que un humano la examine o remediar automáticamente muchas vulnerabilidades por sí mismo.
Salt Security API Protection Platform
La Plataforma de Protección de API de Salt Security es extremadamente avanzada y fue una de las primeras en utilizar completamente la inteligencia artificial y el aprendizaje automático para detectar y detener las amenazas contra las API. La plataforma hace esto mediante la recopilación de tráfico API a través de toda una red, analizando qué llamadas se están haciendo a las API y lo que están haciendo en respuesta. A continuación, compara lo que ve localmente con los datos de tráfico almacenados en un motor de big data basado en la nube. A continuación, puede detener la mayoría de los ataques y señalar las actividades sospechosas, alertando a los equipos humanos de seguridad o tomando medidas en función de su configuración.
La plataforma sigue aprendiendo con el tiempo y cuanto más tiempo examina una red de API, más precisa se vuelve a la hora de determinar qué comportamiento es aceptable en esa red específica.
Noname Security
Noname Security se ha labrado una buena reputación entre las grandes corporaciones que dan soporte a enormes entornos empresariales. Según los informes, es utilizado por el 20% de las empresas Fortune 500. Se diseñó para ir más allá de la protección estándar de comprobación de vulnerabilidades de API que ofrecen algunas plataformas mediante el análisis de los datos de tráfico que se mueven a través de las API. A continuación, recurre a la IA y al aprendizaje automático para buscar actividades maliciosas.
Noname Security admite el uso de API comunes y no estándar en sus pruebas. Por ejemplo, es totalmente compatible con las API HTTP, RESTful, GraphQL, SOAP, XML-RPC, JSON-RPC y gRPC. Utilizando datos de tráfico, puede incluso encontrar, catalogar y proteger API no gestionadas por una pasarela de API, o API de cosecha propia que no siguen ningún protocolo estándar.
Smartbear ReadyAPI
Centrándose en el entorno de desarrollo, Smartbear ReadyAPI puede utilizarse no solo para probar las API en busca de vulnerabilidades de seguridad mientras se construyen, sino también para supervisar su rendimiento. De este modo, los desarrolladores pueden, por ejemplo, ver qué ocurre si una API se encuentra con un volumen de datos muy grande, lo que también podría ser un problema de seguridad.
Como parte de esas pruebas, los usuarios pueden configurar qué tipos de tráfico lanzar a las API en desarrollo, o ReadyAPI puede capturar tráfico real de la red de la organización y luego utilizarlo para una prueba muy realista. De forma nativa, ReadyAPI es compatible con Git, Docker, Jenkins, Azure DevOps y TeamCity, entre otros.
Wallarm End-to-End API Security
Si bien la plataforma Wallarm End-to-End API Security fue diseñada para trabajar en un entorno nativo de la nube donde residen muchas API, también puede funcionar para asegurar API que existen en equipos on-prem. Está diseñada para proteger contra cualquier tipo de amenaza realizada contra una API, desde las que figuran en la lista de las principales vulnerabilidades del Open Web Application Security Project (OWASP) hasta amenazas específicas como el relleno de credenciales que se realizan a menudo contra las API.
Wallarm también puede ayudar a mitigar los ataques distribuidos de denegación de servicio (DDoS) y las incursiones de reconocimiento, o directamente los ataques, realizados por bots. Teniendo en cuenta que la mayor parte del tráfico actual en Internet está compuesto por bots, es una buena función para una herramienta de seguridad.
La plataforma también proporciona una visión profunda y general de toda la cartera de API de una organización basada en el tráfico de usuarios, lo que puede proporcionar una visión no solo de la seguridad, sino también de cómo las API están siendo utilizadas por la organización y qué áreas pueden necesitar mejoras. Ese no es el objetivo principal de la plataforma Wallarm, pero los informes detallados serían ciertamente útiles en otras áreas fuera de la seguridad como una ventaja por utilizar la plataforma.
Basado en el artículo de John Breeden II (CSO) y editado por CIO Perú
Puede ver también: