BLOG

15 preguntas sobre la postura de tu API

Miniatura de Chuck Herrin
Chuck Herrin
Publicado el 1 de noviembre de 2024

Tengo un secreto que voy a compartir contigo hoy. En la media docena de puestos de director de seguridad de la información (CISO) que he desempeñado en los últimos 20 años, solo uno me contrató debido a una filtración de datos. Uno. 

Los otros cinco se debieron a desgaste o a que el titular fue reemplazado debido a una pérdida de confianza por parte de partes interesadas clave. La mitad de los suplentes fueron sustituidos por pérdida de confianza, no por violación de la misma.

¿Por qué los CISO necesitan comprender su entorno de API?

En el ámbito de la seguridad de las API, podemos resumir la necesidad de que los CISO comprendan las exposiciones de sus API en unas pocas declaraciones. 

Primero, necesita saber cuatro cosas para crear un modelo de amenaza para un entorno determinado: sus activos, actores, interfaces y acciones. En otras palabras: “¿Quién hace qué, a qué, a través de qué?”

En segundo lugar, la “I” en API es “interfaz”. Las interfaces de programación de aplicação se utilizan ampliamente en múltiples plataformas, lenguajes y marcos, y casi todo el desarrollo de software moderno es API-first. Tienes APIs en tu entorno, garantizado. 

En tercer lugar, si usted como CISO no tiene un inventario de las interfaces que exponen y sirven sus datos confidenciales, ya sea internamente o en sus aplicaciones web y móviles, tiene un modelo de amenazas incompleto y los correspondientes puntos ciegos donde se exponen los servicios y los datos. 

Por último, los modelos de amenazas incompletos carecen de una supervisión de seguridad integral y de demostración del debido cuidado, dos áreas críticas que los auditores y los reguladores son responsables de garantizar que se lleven a cabo. Es su responsabilidad asegurarse de que los activos, actores, interfaces y acciones en un entorno determinado se comprendan y gestionen. 

Evaluación de la riesgo de seguridad de su API

Aquí en F5, siempre queremos que nuestros clientes sean las personas más inteligentes de la sala, por eso hemos creado una lista rápida de preguntas que puede usar para evaluar el estado actual de su ecosistema de API. Al responder estas preguntas ahora, estará preparado en caso de que le pregunten más adelante durante un examen de campo o una auditoría externa. 

Personalmente he compartido estas preguntas con reguladores y examinadores de múltiples agencias. Ahora que los EE.UU. La Comisión Federal de Comunicaciones ha comenzado a emitir multas y decretos de consentimiento específicamente para problemas de API y la versión actual del Estándar de seguridad de datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0+ requiere el cumplimiento de API específicamente en desarrollo, el momento nunca ha sido mejor para que los defensores tengan estas respuestas a mano. 

Incluso si no puede responderlas todas, saber cuál es su posición y demostrar una postura proactiva es de vital importancia para los CISO. Al demostrar que eres capaz de comprender y desarrollar tu postura de seguridad de API, conservarás la confianza que tanto te ha costado ganar. 

Aquí está la lista, del más fácil al más difícil. Si tiene dificultades para llegar tan abajo en la lista como quisiera, llame a su equipo de cuentas de F5. Estamos aquí para ayudar.

  1. ¿Quién es el propietario de la seguridad de la API de nuestra empresa?
  2. ¿Nuestras API tienen propietarios asignados?
  3. ¿Qué porcentaje de nuestros ingresos proviene de las API?
  4. ¿Cuántas API tenemos?
  5. ¿Cuántos de estos se utilizan activamente y cuántos están inactivos?
  6. ¿Cuántos son vulnerables a los 10 problemas de API más comunes ?
  7. ¿Nuestras pruebas de penetración cubren adecuadamente las vulnerabilidades de la API y los ataques a la lógica empresarial en producción?
  8. ¿Cuáles de nuestras API transmiten o reciben datos sujetos a cumplimiento legal o regulatorio?
  9. ¿Estamos viendo tráfico malicioso? ¿En qué puntos finales de API?
  10. ¿Cuál es nuestro riesgo general de seguridad de API? ¿Ha mejorado o empeorado desde esta época el año pasado?
  11. ¿Hay algunos equipos de desarrollo que generan más problemas de API que otros? ¿Cómo se les capacita y se les proporciona retroalimentación sobre cuestiones de seguridad de la API?
  12. ¿Existe un proceso de verificación de cambios en el código y en la API antes de que entren en producción?
  13. ¿Quién recibe alertas sobre eventos de seguridad detectados en nuestras API?
  14. ¿Cuál es el tiempo de respuesta promedio en minutos cuando se detecta un ataque de autorización a nivel de objeto (BOLA) roto contra una de nuestras API de producción?
  15. Y, por último, volvamos a lo básico que encabeza la lista: ¿las personas que creemos que son dueñas de la seguridad de la API saben y aceptan que la poseen?

Reforzando su seguridad

Evaluar su entorno de API y la amenaza potencial que representan las API es el primer paso para exponer puntos ciegos y reforzar su postura de seguridad.   

Únase a F5 esta semana en API World en Santa Clara, California, para aprender todo sobre las API. Hablaré el jueves a la 1 p. m. PST junto con dos de mis colegas en una sesión abierta, "Un mundo de IA es un mundo de API: “Cómo proteger las aplicaciones más modernas de las modernas”, y esta misma sesión se llevará a cabo de manera virtual el jueves 14 de noviembre a la 1 p. m. 

F5 también organizará la sesión virtual “API CTF: “Aprenda los fundamentos de la seguridad de API”, el martes 12 de noviembre a las 9 a. m. 

¿No vas a API World? Consulte nuestra demostración de seguridad de API