El siguiente artículo se basa en una serie de seminarios web de seguridad de API empresariales de Imvision con oradores de IBM, Deloitte, Maersk e Imvision que discuten la importancia de centralizar la visibilidad de API como una forma de acelerar los esfuerzos de remediación y mejorar las posiciones generales de seguridad.
Resumen
Centralizar la seguridad es un desafío en el ecosistema abierto actual
En lo que respecta a la visibilidad de las API, lo primero que debemos reconocer es que las empresas de hoy en día evitan activamente la gestión de todas sus API a través de un único sistema. Según Tony Curcia de IBM, director de ingeniería de integración, muchos de sus clientes empresariales ya están trabajando con arquitecturas híbridas que aprovechan la infraestructura local tradicional mientras se hacen cargo de SaaS e IaaS de varios proveedores de nube.
Estas arquitecturas tienen como objetivo aumentar la resiliencia y la flexibilidad, pero son conscientes de que esto complica los esfuerzos de centralización «.» El objetivo de estas arquitecturas es aumentar la resiliencia y la flexibilidad, pero a costa de complicar los esfuerzos de centralización. visibilidad y mejor gestión de las actividades comerciales relacionadas con API.
El desafío para los equipos de seguridad es que no existe un lugar central único para que todas las API sean administradas por el equipo de desarrollo y, con el tiempo, es probable que esta complejidad empeore. Además, esta complejidad no termina en el nivel de infraestructura, sino que continúa en la capa de aplicación.
Moe Shamim de Deloitte, director senior de tecnología y representante CISO de US Consulting, considera que el desarrollo de aplicaciones no monolíticas es crucial. Argumenta que las organizaciones ahora deben dividir estos millones de líneas de código en procesos y sistemas modulares basados en API para seguir siendo competitivas, al mismo tiempo que se aseguran de que los vectores de amenazas se mantengan al mínimo. Esto requiere un replanteamiento importante, ya que ahora tenemos que considerar las puertas de enlace API, IAM, restricciones y más, lo que significa mucho tiempo y recursos.
El alcance de la organización en las API ya no aumenta orgánicamente con el tiempo. Ahora consta de varias API que se originan a partir de fusiones y adquisiciones, control de versiones, API internas, API de terceros, desviaciones del uso previsto original, desarrollo, pruebas, depuración y fines de diagnóstico, etc. Esto hace que la complejidad sea un problema aún mayor porque muchas API no están documentadas y no están administradas y, por supuesto, no están protegidas.
 |
| ¿De dónde provienen las «API de sombra»? |
Promover un programa consistente en cada uno de los diferentes entornos donde se ubican los activos comerciales es un desafío en esta realidad de nube híbrida. Este desafío de coherencia debe tenerse en cuenta al elegir los reservorios de tecnología, de modo que la aplicación de políticas y programas de gobernanza no sea un problema en todas partes.
Pero es más fácil decirlo que hacerlo, especialmente en empresas exitosas que se asocian y adquieren otras organizaciones: cada empresa utiliza diferentes tecnologías, lo que requiere un proceso de seguridad API personalizado para cada nuevo entorno que se agrega.
Esto es lo que debe tener en cuenta al evaluar las soluciones de seguridad API a lo largo de su ciclo de vida.
¿Ciclo de vida de la API? API de estilo de vida!
Según Moe Shamim, el ciclo de vida de la API se puede reducir a los pilares que se muestran en la siguiente figura. La arquitectura, la distribución, el diseño y muchos otros aspectos que afectan la forma en que una organización desarrolla su enfoque de API deben tenerse en cuenta al crear una estrategia de seguridad de API. Puede considerar cada uno de estos aspectos como controles que aplica en cada etapa del ciclo de vida de la API. Y básicamente tiene que ver con la visibilidad y centralización de la que hablamos anteriormente.
 |
| Imagen de pilares de estilo de vida de API |
Planificación identifica problemas como si las API solo se utilizarán dentro de un firewall de red o públicamente, así como problemas como la autenticación. También abordará cuestiones más técnicas como el ensamblaje, los tipos de puerta de enlace y los lenguajes de programación que utilizará. Lo importante, y esto se aplica a cualquier decisión que tome en relación con su puesto de seguridad, es tomar una decisión que sea coherente con su ecosistema de herramientas y tenga en cuenta su modelado de amenazas.
EN Construir Pillar Scanning Los 10 problemas principales de OWASP son imprescindibles y las herramientas SAST son excelentes para eso. El pentesting y el control de versiones no necesariamente tienen que estar integrados en su posición de seguridad, pero ambos son mecanismos poderosos que sin duda beneficiarán su arsenal de seguridad.
El Trabajo El pilar incluye problemas como restricciones, almacenamiento en caché y registro. En la fase de remediación, un mecanismo robusto de registro y monitoreo es esencial porque le permite corregir vulnerabilidades de una versión a otra.
Por último, pero no menos importante, llegamos a Salir pilar del ciclo de vida. Eliminar los puntos finales que ya no se utilizan es una práctica recomendada básica; Básicamente, si ya no necesita el servicio, no lo deje encendido. Y si no necesita la API en absoluto, simplemente desconéctela; lo mismo ocurre con las cuentas en la nube.
Tony Curcio sostiene que uno de los principios clave en la gestión de programas de API es la coordinación entre los proveedores de API, la gestión de productos y los consumidores. Observar las disposiciones de seguridad de cada una de estas personalidades y coordinar las políticas de API que garantizan el uso seguro de cada una de ellas es un aspecto fundamental de la posición de seguridad de una organización.
Tener una mentalidad de API primero en su organización definitivamente ayuda. Por ejemplo, IBM crea su propia tecnología de gestión de API que les facilita la detección, seguridad y protección de sus API. Tener tecnología avanzada, como Imvison, también significa un largo camino. Su tecnología de inteligencia artificial nos ayuda a comprender mejor los vectores de ataque, incluidos problemas críticos como su origen.
Adopción de un enfoque de seguridad basado en inteligencia
Gabriel Maties, arquitecto de soluciones senior de Maersk, ofrece una perspectiva diferente. Debido a que Maersk ha estado en el programa API durante tres años y después de una infracción grave, la seguridad cibernética se considera constantemente como una forma de mantenerse al menos tan buena como los atacantes, si no mejor.
Gabriel comparte su visión de la observabilidad y ve la gestión de API como una disciplina de múltiples partes interesadas desde el principio, ya que comparte recursos y los expone internamente. Por lo tanto, cada punto de entrada a su sistema y sus mecanismos de soporte deben ser monitoreados cuidadosamente y de manera centralizada.
Esta centralización es importante porque la observabilidad es multidimensional en el sentido de que nunca es necesario monitorear un solo aspecto. Esto requiere una visión holística de la API, que le permitirá comprender fácilmente dónde se implementan las API, quién las posee, quién las consume, cómo se consumen, cómo se ve el consumo normal y cómo se protege cada una. La centralización también le permite comprender mejor cómo es el ciclo de vida de cada API, cuántas versiones hay, qué datos se comparten, dónde se almacenan y quién los usa.
La centralización es la única forma de gestionar este complejo ecosistema de una manera que garantice el máximo beneficio y el mínimo riesgo.
 |
| Imagen de las capas de visibilidad de la API |
La observabilidad centralizada también habilita estadísticas que le permiten tomar medidas basadas en sus observaciones. La observabilidad le permite observar ataques activos y en curso que quizás ni siquiera conozca, e incluso formular estrategias que utilizan acciones basadas en el conocimiento que obtiene de sus observaciones.
La seguridad basada en reglas es muy eficaz, y el aprendizaje automático y el aprendizaje profundo son dos tecnologías que lo automatizan y simplifican. Simplemente no hay otra opción, porque la cantidad de datos que deben combatirse es asombrosa, sin mencionar que estas tecnologías brindan protección adaptativa contra amenazas que ayuda a enfrentar nuevas amenazas.
La mala noticia es que los piratas informáticos también usan la misma tecnología, y lidiar con esto requiere una considerable sofisticación organizacional para poder tomar las medidas necesarias para hacerlo. Estamos hablando de algunas acciones desafiantes, como apagar los equilibradores de carga, cambiar los firewalls y otros cambios de infraestructura realizados de manera automática y rápida. Esto no se puede hacer sin un alto nivel de madurez en toda la organización.
El aprendizaje automático supervisado puede ayudar a las organizaciones a desarrollar esta madurez. Le permite procesar una gran cantidad de conjuntos de reglas e informes, para que pueda diseñar flujos de acción automáticos. La ciencia de datos ofrece un conocimiento significativo cuando se trata de rastrear el comportamiento específico de los atacantes, lo cual es crítico cuando hay diferentes recursos y amenazas avanzadas y persistentes.
Esta respuesta de seguridad basada en inteligencia permite una respuesta continua, adaptativa y reflexiva que se basa en evidencia cuantificada a medida que las reglas y los procesos cambian y se actualizan. Esta es la única forma de lidiar con los ataques cada vez más sofisticados que estamos viendo.
Las pantallas se volvieron negras: un ataque de la vida real
Gabriel habló del ataque real que había experimentado mientras trabajaba en Maersk. Un día, unos nueve meses después de que él se uniera, sus pantallas se quedaron en blanco. Las acciones de desconexión y desconexión no ayudaron, era demasiado tarde y, en cuestión de minutos, miles de computadoras quedaron inutilizables.
No fue un ataque a los incentivos financieros, sino más bien un ataque destructivo que tuvo que poner de rodillas a Maersk. La única opción de Gabriel y su equipo era reconstruir, ya que los atacantes usaban cifrado unidireccional. Está claro que la ciberseguridad fue una de las principales prioridades en la reconstrucción del sistema. El análisis dinámico se consideró fundamental para sus esfuerzos por permitir el análisis en tiempo real para permitir el aprendizaje continuo y la adaptación a las amenazas. Su objetivo era averiguar cómo se ve el comportamiento interno normal y anormal, porque el 80% de los ataques son internos.
Después del ataque, a Gabriel se le ocurrieron 4 niveles de observabilidad, controles de estado y una forma de averiguar si el estado del sistema estaba comprometido. Todos los procesos y decisiones de la arquitectura ahora han sido evaluados por la ciberseguridad y deben pasar por una serie de controles y equilibrios. Esto no significa que tenga que marcar todas las casillas para que se apruebe un nuevo proceso o decisión, porque el punto principal aquí es conocer sus lagunas y debilidades para que pueda utilizar las habilidades y los proveedores adecuados para sus necesidades. filosofía de seguridad. .
Durante los últimos 2 años, hemos visto una tendencia creciente en las organizaciones que adoptan herramientas API específicas que ayudan a monitorear, descubrir y solucionar problemas de las API ocultas para comprender mejor sus riesgos. Este es un gran avance porque las API son completamente diferentes del mundo de las aplicaciones del que venimos. La única forma de proteger la API es adoptar herramientas y procesos únicos que se han creado específicamente para ellos.
Seguridad API: Embebido en placa
La proliferación y gravedad de los ataques a la seguridad cibernética en nuestro país están obligando al liderazgo y la gestión de muchas empresas a tener un mayor interés en la protección de API. Una mayor visibilidad es otra forma de lograr que los gerentes comprendan los riesgos a los que están expuestos. Si puede encontrar fácilmente una manera de mostrarles a sus líderes cuántos datos desprotegidos están en riesgo, habrá ganado la mitad de la batalla.
Esta visibilidad, a su vez, refuerza una actitud de ciberseguridad más adaptativa y reflexiva que le permite aprender constantemente, adquirir conocimientos y ajustar su actitud en respuesta a nuevos tipos de ataques.
Obtenga esta plantilla de RFP para ayudar a simplificar el proceso de elección del proveedor de API adecuado para su negocio
Desarrollar una posición de seguridad coherente y visible en todos los activos de su empresa es fundamental para cualquier estrategia sólida de seguridad cibernética. Esta actitud de seguridad debe tener en cuenta los cuatro pilares del ciclo de vida de la API: planificación, construcción, operación y desmantelamiento. Para hacer esto correctamente, debe elegir tecnologías que le permitan hacer cumplir las políticas, herramientas y controles que eligió cuando comenzó su viaje de seguridad de API.
Igualmente importante es el desarrollo de una estrategia integral y centralizada que le brinde la visibilidad que necesita para proteger sus activos. Las tecnologías avanzadas de aprendizaje automático y aprendizaje profundo proporcionadas por empresas innovadoras como Imvision definitivamente pueden ayudarlo a lograr esto.
