Seguridad de APIs

Un elemento fundamental de la innovación en el mundo actual basado en aplicaciones es la API. Desde bancos, comercio minorista y transporte hasta IoT, vehículos autónomos y ciudades inteligentes, las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y se pueden encontrar en aplicaciones internas orientadas al cliente, orientadas a socios. Por naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII) y, debido a esto, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible.

La disciplina de API Security se centra en estrategias y soluciones para comprender y mitigar las vulnerabilidades únicas y los riesgos de seguridad de las interfaces de programación de aplicaciones (API).

 OWASP API Security Top 10

El Open Web Application Security Project (OWASP) es una comunidad en línea sin fines de lucro y colaborativa detrás del OWASP Top 10. Producen artículos, metodologías, documentación, herramientas y tecnologías para mejorar la seguridad de las aplicaciones.

Desde 2003, el proyecto OWASP Top 10 ha sido la lista autorizada de información frecuente a las vulnerabilidades de las aplicaciones web y las formas de mitigarlas. En 2017, se actualizó la lista estándar de OWASP Top 10 y se agregaron referencias a las API a todas las entradas menos a una.  Sin embargo, el aumento de las API ha cambiado, y está cambiando, el panorama de seguridad tan fundamentalmente que se necesita un nuevo enfoque.

Seguridad de aplicaciones web vs seguridad API

Si bien las API REST tienen muchas similitudes con las aplicaciones web, también hay diferencias fundamentales.

En las aplicaciones web tradicionales, el procesamiento de datos se realiza en el lado del servidor, y la página web resultante se envía a los navegadores de los clientes simplemente donde se procesa. Debido a esto, los puntos de entrada a la arquitectura de red de la empresa eran relativamente pocos y fáciles de proteger mediante la configuración de un firewall de aplicaciones web (WAF) frente al servidor de aplicaciones.

Las aplicaciones modernas basadas en API son muy diferentes. Cada vez más, la interfaz de usuario utiliza API para enviar y recibir los datos de los servidores de back-end para proporcionar las funciones de la aplicación. Ahora son los clientes los que procesan y mantienen el estado.

Agregue a eso el hecho que las arquitecturas de microservicios cuentan con componentes de aplicaciones individuales que se convierten en API, y obtendrá un mundo muy diferente con una superficie de ataque significativamente expandida. Ahora, el punto de entrada a la arquitectura de red es la gran cantidad de API que llaman al backend o en dirección este-oeste en la red.

Con tantos puntos de entrada a menudo extendidos en la arquitectura de la red, poner un firewall frente a un servidor ya no es suficiente para garantizar que todos los puntos de entrada estén protegidos. Además, una solución tradicional basada en WAF no tiene medios para distinguir las llamadas de pirateo de API del tráfico legítimo de API.

Por naturaleza, las API exponen la lógica de la aplicación y los datos confidenciales, como la información de identificación personal (PII) y, debido a esto, se han convertido cada vez más en un objetivo para los atacantes.

Proyecto OWASP API Top 10

Los cambios en la industria mencionados anteriormente han dado como resultado que OWASP lance un proyecto separado dedicado exclusivamente a la seguridad API. Ahora, el proyecto OWASP API Security Top 10 se centra específicamente en las diez vulnerabilidades principales en seguridad API.

El nuevo proyecto reconoce dos cosas:

  • El papel crucial que desempeñan las API en la arquitectura de aplicaciones hoy y, por lo tanto, también en la seguridad de las aplicaciones
  • La aparición de problemas específicos de API que deben estar en el radar de seguridad.

El primer resultado de los esfuerzos es el OWASP API Security Top 10 2019 lanzado en septiembre de 2019.

En nuestra siguiente publicación revisaremos los Top 10 de OWASP API.

Si deseas tener más información sobre OWASP API para adoptar un estándar de seguridad, escríbenos a contacto@apiservice.cl