Proteger las API: ¿misión imposible?
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
La seguridad de las API es difícil, pero con una formación adecuada, una planificación y un enfoque en las mejores prácticas, se pueden mitigar incluso las vulnerabilidades más insidiosas.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Los ciberataques, sin duda, van en aumento. Según el informe de investigación de violaciones de datos de 2021 de Verizon, el panorama de amenazas es más peligroso hoy más que nunca. Las organizaciones de todos los tamaños están sufriendo un mayor volumen de ataques y un mayor nivel de sofisticación por parte de los actores de amenazas que las atacan. Además, las tasas de éxito de los atacantes también se están disparando.
El análisis de los ataques más recientes ayuda a revelar algunas de las vulnerabilidades y técnicas más comunes que utilizan los piratas informáticos durante este ataque sin precedentes contra las ciberdefensas. Algunos de los ataques más populares, como los perpetrados por el Open Web Application Security Project (OWASP) Los 10 principales riesgos y vulnerabilidades de seguridad para 2021, implicaba el robo o la puesta en peligro de cualquier otro modo las credenciales. Y según una investigación de seguridad realizados por Akamai, la inmensa mayoría, casi el 75%, se dirigió directamente a las credenciales de las API.
El auge y la posible ruina de las APIs
No es de extrañar que las interfaces de programación de aplicaciones, en su mayoría denominadas simplemente API, estén aumentando en las redes de casi todas las organizaciones. Son un componente fundamental de la mayoría de los servicios basados en la nube, que están asumiendo rápidamente las funciones de los activos locales en la mayoría de las empresas, organizaciones y agencias gubernamentales. Hoy en día, casi no se puede administrar ningún tipo de negocio o tarea sin la nube, especialmente las que están orientadas al público. Y eso significa que las API van a ser, sin duda, el elemento que unirá a un buen número de servicios en todas las redes.
Lo sorprendente de las API es que, en su mayoría, son pequeñas y discretas en términos de asignación de recursos de red. Además, son completamente flexibles, por lo que se les puede asignar la tarea de realizar casi cualquier trabajo. En esencia, las API son piezas individuales de software diseñadas para controlar o administrar un programa en particular. Se pueden utilizar para realizar funciones muy específicas, como acceder a los datos desde un sistema operativo, una aplicación o un servicio host.
Desafortunadamente, es esta misma flexibilidad, y el hecho de que a menudo son pequeñas y los equipos de seguridad las pasan por alto, lo que convierte a las API en objetivos atractivos. La mayoría de las API están diseñadas por desarrolladores para ofrecer una flexibilidad total, de modo que puedan, por ejemplo, seguir funcionando incluso si se modifica o cambia el programa principal que administran. Y hay pocos estándares. Casi como los copos de nieve, muchas API son únicas porque se crean para cumplir una función en particular con un solo programa en una red específica. Si están codificadas por desarrolladores que no son muy conscientes de la seguridad o que no se centran específicamente en la seguridad, pueden y probablemente tendrán cualquier cantidad de vulnerabilidades que los atacantes pueden encontrar y explotar.
Lamentablemente, el problema se nos va de las manos rápidamente. Según Gartner, para 2022, vulnerabilidades relacionadas con las API se convertirá en el vector de ataque más frecuente en todas las categorías de ciberseguridad.
La razón principal por la que los atacantes quieren comprometer las API no es para poder hacerse cargo de cualquier función específica que desempeñe la API, sino para robar las credenciales asociadas a ella. Uno de los mayores problemas de las API, además de estar plagadas de vulnerabilidades, es que a menudo muy sobreautorizado en lo que respecta a su funcionalidad principal. En aras de la simplicidad, la mayoría de las API tienen un acceso casi a nivel de administrador en una red. Si un atacante se hace con el control de una, con frecuencia puede usar sus permisos para lanzar incursiones más profundas y sustanciales en una red. Además, dado que la API tiene permiso para realizar cualquier tarea hacia la que lo redirija el atacante, sus acciones a menudo pueden eludir la supervisión tradicional de la ciberseguridad, ya que la API no infringe ninguna regla gracias a su pase VIP entre bastidores que permite acceder a todas las áreas.
Si las organizaciones no tienen cuidado, el aumento de las API dentro de su red y sus nubes también puede significar un gran problema si son el objetivo de los atacantes.
Defensa de las API
A pesar de lo peligrosa que se está volviendo la situación con las API, está lejos de ser inútil. Hay un gran esfuerzo a través de los movimientos como DevSecOps para ayudar a que los desarrolladores sean más conscientes de la seguridad e incorporar la seguridad y las mejores prácticas en todos los aspectos de la creación de software, desde el desarrollo hasta las pruebas y la implementación. Incluir la seguridad de las API como parte de esa formación será fundamental para cualquier organización que quiera superar la tendencia de explotación de las API hasta 2022 y más allá.
Dicho esto, hay algunas buenas prácticas recomendadas que se pueden implementar ahora mismo en términos de seguridad de API.
Lo primero es incluir controles de identidad estrictos para todas las API. Casi deberías considerarlos como usuarios humanos a la hora de asignar permisos. Dado que una API solo está diseñada para realizar una función específica, hay que pensar en lo que podría suceder si un atacante pudiera comprometerla. Considera la posibilidad de usar un control de acceso basado en roles. Lo ideal sería que, en última instancia, aplicaras los principios de confianza cero a tus API y usuarios, pero eso suele ser un largo camino. Una buena gestión de identidades es un buen punto de partida. Solo asegúrese de incluir las API como parte de ese programa.
También debes controlar estrictamente las diversas llamadas que realizan tus API en la medida de lo posible. Si limitas esas llamadas a solicitudes muy centradas en el contexto, será mucho más difícil para un atacante modificarlas con fines nefastos. Incluso puedes estratificar tus API, de modo que una API inicial haga una llamada altamente contextual a otra API que sepa exactamente qué buscar y qué ignorar. Esta puede ser una forma eficaz de limitar la funcionalidad disponible para un agente de amenazas, incluso si es capaz de aprovechar y comprometer una API dentro de esa cadena.
No cabe duda de que las amenazas dirigidas contra las API pueden parecer abrumadoras. Sin embargo, si se implementan las mejores prácticas y se ayuda y recompensa a los desarrolladores que se convierten en campeones de la seguridad, la situación puede parecer mucho menos desesperada. Con una buena formación y práctica, puedes crear un programa de seguridad sólido que dé a los atacantes poco margen de maniobra, incluso si de alguna manera ponen en peligro una de tus pequeñas pero esenciales herramientas de API.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre organisation à protéger le code tout au long du cycle de vie du développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez administrateur AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour débuter
Thèmes et contenu de la formation sur le code sécurisé
Notre contenu de pointe évolue constamment afin de s'adapter au paysage changeant du développement logiciel, en tenant compte de votre rôle. Nous proposons des thèmes allant de l'IA à l'injection XQuery pour différents postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par thème et par fonction.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions IA de Beat the Boss sont désormais disponibles à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année chez SCW. Mettez en œuvre des défis de sécurité avancés basés sur l'IA et le LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer grâce à des pratiques de conception sécurisées, à la prévention des vulnérabilités et au développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en 10 parties intitulée « Les catalyseurs de la réussite », qui montre comment relier la codification sécurisée aux résultats commerciaux, tels que la réduction des risques et la rapidité d'atteinte de la maturité du programme à long terme.
