Tengo un secreto que voy a compartir contigo hoy. En la media docena de puestos de director de seguridad de la información (CISO) que he desempeñado en los últimos 20 años, solo uno me contrató debido a una filtración de datos. Uno.
Los otros cinco se debieron a desgaste o a que el titular fue reemplazado debido a una pérdida de confianza por parte de partes interesadas clave. La mitad de los suplentes fueron sustituidos por pérdida de confianza, no por violación de la misma.
En el ámbito de la seguridad de las API, podemos resumir la necesidad de que los CISO comprendan las exposiciones de sus API en unas pocas declaraciones.
Primero, necesita saber cuatro cosas para crear un modelo de amenaza para un entorno determinado: sus activos, actores, interfaces y acciones. En otras palabras: “¿Quién hace qué, a qué, a través de qué?”
En segundo lugar, la “I” en API es “interfaz”. Las interfaces de programación de aplicação se utilizan ampliamente en múltiples plataformas, lenguajes y marcos, y casi todo el desarrollo de software moderno es API-first. Tienes APIs en tu entorno, garantizado.
En tercer lugar, si usted como CISO no tiene un inventario de las interfaces que exponen y sirven sus datos confidenciales, ya sea internamente o en sus aplicaciones web y móviles, tiene un modelo de amenazas incompleto y los correspondientes puntos ciegos donde se exponen los servicios y los datos.
Por último, los modelos de amenazas incompletos carecen de una supervisión de seguridad integral y de demostración del debido cuidado, dos áreas críticas que los auditores y los reguladores son responsables de garantizar que se lleven a cabo. Es su responsabilidad asegurarse de que los activos, actores, interfaces y acciones en un entorno determinado se comprendan y gestionen.
Aquí en F5, siempre queremos que nuestros clientes sean las personas más inteligentes de la sala, por eso hemos creado una lista rápida de preguntas que puede usar para evaluar el estado actual de su ecosistema de API. Al responder estas preguntas ahora, estará preparado en caso de que le pregunten más adelante durante un examen de campo o una auditoría externa.
Personalmente he compartido estas preguntas con reguladores y examinadores de múltiples agencias. Ahora que los EE.UU. La Comisión Federal de Comunicaciones ha comenzado a emitir multas y decretos de consentimiento específicamente para problemas de API y la versión actual del Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0+ requiere el cumplimiento de API específicamente en desarrollo, el momento nunca ha sido mejor para que los defensores tengan estas respuestas a mano.
Incluso si no puede responderlas todas, saber cuál es su posición y demostrar una postura proactiva es de vital importancia para los CISO. Al demostrar que eres capaz de comprender y desarrollar tu postura de seguridad de API, conservarás la confianza que tanto te ha costado ganar.
Aquí está la lista, del más fácil al más difícil. Si tiene dificultades para llegar tan abajo en la lista como quisiera, llame a su equipo de cuentas de F5. Estamos aquí para ayudar.
Evaluar su entorno de API y la amenaza potencial que representan las API es el primer paso para exponer puntos ciegos y reforzar su postura de seguridad.
Únase a F5 esta semana en API World en Santa Clara, California, para aprender todo sobre las API. Hablaré el jueves a la 1 p. m. PST junto con dos de mis colegas en una sesión abierta, "Un mundo de IA es un mundo de API: “Cómo proteger las aplicaciones más modernas de las modernas”, y esta misma sesión se llevará a cabo de manera virtual el jueves 14 de noviembre a la 1 p. m.
F5 también organizará la sesión virtual “API CTF: “Aprenda los fundamentos de la seguridad de API”, el martes 12 de noviembre a las 9 a. m.
¿No vas a API World? Consulte nuestra demostración de seguridad de API .