En una economía oscilante, puede ser difícil determinar cuál es la mejor manera de invertir, razón por la cual el último informe de Forrester Guía de planificación 2023: Seguridad y riesgo se considera que el informe proporciona una orientación muy necesaria. Sugiere que los CISO deben priorizar centrándose en tecnologías que mejoran la experiencia del cliente o aumentan los ingresos, pero al mismo tiempo también deben tratar de reducir el desperdicio, y eso significa reevaluar la pila de seguridad cibernética.
Para muchas empresas, no es raro tener una pila de entre 20 y 70 productos. Compuestas por las mejores soluciones puntuales obtenidas de múltiples proveedores, tienen capacidades de integración limitadas y su administración requiere mucho tiempo. La pila habrá crecido orgánicamente, con sistemas agregados en reacción a los eventos en lugar de una forma proactiva y metodológica, lo que inevitablemente conduce a la superposición de funcionalidades e incluso a conjuntos de funciones sin usar.
Un buen ejemplo de esto es la seguridad de las aplicaciones. A medida que las empresas comenzaron a implementar aplicaciones móviles, contenedores, computación sin servidor y microservicios, aumentó su dependencia de las interfaces de programación de aplicaciones (API). Pero en ausencia de una solución API dedicada, muchos encontraron que tenía sentido reutilizar las herramientas de seguridad existentes, como los firewalls de aplicaciones web (WAF), los firewalls de próxima generación (NGFW) o los sistemas de prevención de intrusiones (IPS). Algunos habrán ido un paso más allá y los habrán complementado con puertas de enlace API para ayudar a administrar la complejidad.
Si bien estas herramientas pueden tener éxito en la prevención de algunos tipos básicos de ataques, carecen de la visibilidad necesaria para rastrear las API en uso en todo el entorno, evaluar si las API están configuradas correctamente y detectar actividad anómala sigilosa. Dichos sistemas luchan porque buscan amenazas basadas en firmas, pueden dejar brechas explotables porque no usan el análisis de tiempo de ejecución para verificar configuraciones incorrectas e incluso pueden actuar como un único punto de falla.
Un informe reciente de ESG encontró que el 38 % de los encuestados tuvo que recurrir a comprar más herramientas porque las que tenían no estaban a la altura del trabajo y no funcionaron como se esperaba, lo que se sumó a la expansión tecnológica. También reveló que muchos desconocían el rendimiento de sus herramientas, lo que revela la falta de conocimiento que tenían sobre la seguridad de su API.
Curiosamente, la seguridad API es una de las principales tecnologías recomendadas en el informe de Forrester porque es una tecnología que es más fácil de implementar para proporcionar acceso a otras aplicaciones, pero también es muy susceptible a los ataques. Entonces, ¿dónde deja esto a las empresas que han improvisado algún tipo de defensa API? La conclusión obvia es que cualquier inversión en seguridad de API también presenta una oportunidad de oro para racionalizar la pila y evaluar y reemplazar tales soluciones improvisadas.
Desafíos únicos
Proteger las API presenta algunos desafíos únicos. Estos mecanismos suelen ser explotados por el atacante que investiga y usa las características propias de la API en su contra, por lo que cualquier defensa debe centrarse en el análisis del comportamiento y buscar actividad anómala. Esto solo se puede lograr monitoreando el uso de huellas dactilares de comportamiento predefinidas y aplicando reglas, utilizando el aprendizaje automático y la inteligencia de amenazas.
Tomemos, por ejemplo, el ataque a MailChimp en abril. Esto hizo que los piratas informáticos obtuvieran claves API que permitieron a sus clientes autogestionar sus cuentas y realizar campañas de marketing de forma autónoma. Armados con estos, los atacantes pudieron enviar correos electrónicos de phishing a los clientes de Trezor, un cliente de criptomonedas de Mailchimp.
Se informó a sus clientes que sus billeteras habían sido comprometidas y se les aconsejó que descargaran una aplicación falsa y configuraran un nuevo PIN. El compromiso de esas claves API podría haberse detectado mediante el monitoreo del comportamiento, pero una solución basada en firmas no lo detectaría.
Además, la proliferación de API, que están superando rápidamente a las aplicaciones web como el mecanismo de conectividad de elección, sugiere que se necesita un enfoque aún más integral. Siendo realistas, las empresas tienen cientos de API implementadas, algunas de las cuales se habrán olvidado y presentarán un riesgo de seguridad continuo. Luego se desarrollarán y agregarán más API, y si la seguridad no es parte del proceso de producción, puede elevar aún más el riesgo.
Todos los que se implementen luego deben permanecer visibles, para que puedan actualizarse o reconfigurarse correctamente y monitorearse de manera continua.
Cuna a la tumba
Lo que esto significa es que la seguridad de la API ya no se preocupa simplemente por proteger la API, sino por todo el ciclo de vida de descubrimiento, detección y defensa, desde la realización de una auditoría de API hasta la creación de un inventario de tiempo de ejecución, para garantizar que las API cumplan con las especificaciones y en de acuerdo con las regulaciones específicas de la industria; no solo para detectar amenazas, sino también para prevenirlas mediante el escaneo activo de la infraestructura de API y mediante la detección y solución de problemas antes de la implementación cuando las API están en preproducción.
Adoptar un enfoque unificado que cubra todos estos ángulos evita la necesidad de usar WAF, NGFW, IPS para la protección de API o incluso una puerta de enlace de API, lo que significa que el CISO puede reducir la carga en algunas de estas herramientas y desmantelar otras, reduciendo así la pila. También garantiza un rápido tiempo de valor al reducir las explotaciones de API, eliminando las violaciones de cumplimiento y protegiendo a los usuarios finales de los ataques.
Lo más probable es que los presupuestos de seguridad se vean reducidos a medida que las empresas luchan contra la inflación y el aumento de los costos, con el foco puesto en mantener las luces encendidas. Forrester aboga por que el dinero se gaste donde importa, pero también por que las empresas reduzcan los costos y la complejidad. Ahora no hay ninguna razón por la que los CISO no puedan hacer ambas cosas, si son lo suficientemente inteligentes como para capitalizar los avances recientes realizados en la industria de las API.
Jason Kent es un hacker residente en Seguridad de la secuencia.