Salt Labs se lanza para aumentar el conocimiento de las amenazas de seguridad API | La seguridad cibernética

[ad_1]

Por Jack M. Germain

22 de julio de 2021 4:00 a. M. (Hora del Pacífico)

Cualquiera que esté interesado en mantenerse a la vanguardia de los ataques a la seguridad cibernética y las intrusiones en la red empresarial a través de las vulnerabilidades de la interfaz de programación de aplicaciones (API) ahora puede aprovechar los informes de seguridad y los avisos de expertos.

Seguridad de la sal el 14 de julio anunció el lanzamiento de Laboratorios de sal, un foro ahora público para publicar investigaciones sobre vulnerabilidades de API. A través de su investigación de vulnerabilidades y amenazas, así como de los informes de la industria, Salt Labs será un recurso para las empresas que buscan fortalecer la infraestructura contra el riesgo de API.

La compañía tiene como objetivo llenar un vacío en la información disponible sobre los aspectos más destacados de la investigación de vulnerabilidades y riesgos de API. Salt Labs se creó como un recurso para los clientes de Salt Security, así como para la industria en general, para aumentar la conciencia pública sobre las amenazas de seguridad de las API, fortalecer la infraestructura contra el riesgo de las API y acelerar la innovación empresarial al hacer que las API sean resistentes y a prueba de ataques.

Las preocupaciones por la seguridad de las API se han convertido en un importante inhibidor de la innovación empresarial, según Salt.

Salt también publicó su primer informe de investigación que detalla cuatro vulnerabilidades API descubiertas recientemente que afectan a las empresas de servicios financieros. Este primer informe de investigación de amenazas, “Registros financieros detallados expuestos en la plataforma de servicios financieros”, sirve como un ejemplo evidente de un medio de este tipo.

El equipo descubrió múltiples vulnerabilidades de API que podrían permitir a los atacantes ver los registros financieros de los clientes, eliminar cuentas de clientes, realizar la toma de control de cuentas (ATO) o crear una condición de denegación de servicio que haría que aplicaciones completas no estuvieran disponibles.

Las API son códigos de software que permiten que las aplicaciones informáticas accedan a los datos e interactúen con componentes de software externos, sistemas operativos o microservicios. El proceso entrega respuestas de usuario a un sistema y envía la respuesta del sistema a un usuario.

“Con el crecimiento de las API y el papel central que desempeñan en los entornos de aplicaciones actuales, la necesidad de una investigación imparcial, relevante y confiable nos ha llevado a compartir la innovadora investigación de seguridad de API que nuestro equipo ha estado realizando durante años”, dijo Roey Eliyahu. , cofundador y CEO de Salt Security.

Un ejemplo de ello

Según el Informe sobre el estado de seguridad de la API de Salt Security, el 66 por ciento de las organizaciones ha retrasado la implementación de una nueva aplicación debido a problemas de seguridad de la API. Para contrarrestar estas preocupaciones, la investigación y los informes de Salt Labs permitirán a las organizaciones mejorar su postura de seguridad de API y mitigar las amenazas que afectan a las empresas centradas en API.

Utilizando un profundo conocimiento técnico de las amenazas de API, las brechas de seguridad y las configuraciones incorrectas, Salt Labs se enfoca en tres objetivos. Su objetivo es ofrecer investigación de amenazas de alto impacto, descubrir los últimos vectores de ataque de API y proporcionar las mejores prácticas de corrección para hacer que los programas de seguridad de API sean cada vez más ágiles y accionables.

Los investigadores de Salt Labs investigaron la plataforma en línea de una gran institución financiera que brinda servicios API a miles de bancos asociados y asesores financieros. Como resultado de múltiples vulnerabilidades de API, los investigadores encontraron que los atacantes podían lanzar ataques donde:

  • Cualquier usuario puede leer los registros financieros de cualquier cliente.
  • Cualquier usuario puede eliminar las cuentas de cualquier cliente en el sistema.
  • Cualquier usuario puede hacerse cargo de cualquier cuenta.
  • Cualquier usuario podría crear una condición de denegación de servicio que haría que aplicaciones completas no estuvieran disponibles.

Los investigadores de Salt explotaron estas vulnerabilidades de seguridad API de alta gravedad en la plataforma de servicios financieros:

  • Autorización de nivel de objeto roto (BOLA)
  • Autorización de nivel de función rota (BFLA)
  • Susceptibilidad a la manipulación de parámetros
  • Validación de entrada incorrecta

Estrategias de informes

Los investigadores anonimizaron cualquier detalle técnico de la vulnerabilidad que pudiera identificar a la organización para no exponer a la entidad financiera a ningún riesgo adicional. Los funcionarios de Salt Lab revisaron estos hallazgos con la organización y compartieron la información públicamente para mejorar la conciencia sobre la seguridad de la API al detallar los patrones de ataque relevantes, los detalles técnicos y las técnicas de mitigación para cada vulnerabilidad.

Muchos problemas de API solo se manifiestan a sí mismos cuando las API se ejecutan dentro de una aplicación, un sistema y una arquitectura completamente integrados, según Michael Isbitski, evangelista técnico de Salt Security. El análisis de código por sí solo no lo cubrirá, y tampoco es factible en casos de código de propiedad de terceros o integración de servicios externos.

“Probar las API a fondo en tiempo de ejecución sin la ayuda de máquinas es una tarea compleja y que requiere mucho tiempo. Es difícil encontrar la experiencia relevante en la materia para ejecutar todas las herramientas necesarias y comprender los resultados de lo que se está descubriendo, ya que los problemas de API cruzan una serie de dominios de tecnología y seguridad “, dijo a TechNewsWorld.

Preocupación oculta de ciberseguridad

Las API no siempre se denominan por su nombre como una faceta de la ciberseguridad. Pero las API sustentan la mayoría de los diseños de sistemas y cadenas de suministro de software modernos.

“Muchos incidentes que estamos viendo en la industria, incluidos los ataques a la cadena de suministro, se producen porque las API no están protegidas o porque las API se utilizaron como un paso crítico de una cadena de ataque”, dijo Isbitski.

Siendo realistas, las organizaciones preocupadas por los riesgos de seguridad de API deberían buscar ofertas de seguridad de API especialmente diseñadas que estén diseñadas como plataformas, agregó. Estas soluciones brindan una variedad de capacidades para proteger las API durante todo el ciclo de vida.

Trayectorias divergentes

La proliferación de API y la seguridad de API, desafortunadamente, están en trayectorias divergentes, según Setu Kulkarni, vicepresidente de estrategia en Seguridad de la aplicación NTT. Las API están proliferando exponencialmente más rápido que las pruebas de seguridad de estas mismas API. Mientras tanto, crear e implementar API es más fácil que nunca.

“Examinar los metadatos y el análisis de tráfico en vivo se está convirtiendo en una mejor manera de descubrir las API que simplemente enlistarlas en función de los comentarios de los desarrolladores”, dijo a TechNewsWorld.

Las pruebas de seguridad de API siguen el patrón de las pruebas funcionales de API. Es decir, utilizando el marco base proporcionado por las herramientas de pruebas funcionales para orquestar la secuencia de llamadas de la API para garantizar que las pruebas de seguridad se realicen en esas secuencias de llamadas, explicó Kulkarni.

“Las pruebas dinámicas se están convirtiendo en la forma más segura de examinar la seguridad de las API. Las pruebas dinámicas se están adaptando al uso de los desarrolladores”, añadió.

Modelos comerciales comunes

Las API se están convirtiendo rápidamente en la base técnica de los modelos de negocio B2B y B2C. Como tal, cuando se desarrollan e implementan las API, realmente no hay forma de estimar todos los lugares posibles donde se utilizarán las API, según Kulkarni.

“Las API se están convirtiendo silenciosamente pero rápidamente en una de las piezas más críticas de la cadena de suministro de software. Las organizaciones están ahora a una llamada API vulnerable de una posible brecha importante”, advirtió.

Un desafío subyacente que se confunde es el hecho de que las API de hoy son fachadas de sistemas heredados que nunca fueron diseñados para estar en línea o utilizados en un entorno B2B o B2C integrado, observó Kulkarni.

“Al crear una capa de API, estos sistemas transaccionales heredados pueden participar en iniciativas de transformación digital”, dijo.

Este patrón de habilitación de API de sistemas heredados crea problemas de seguridad. De lo contrario, no habrían sido problemas en las zonas de confianza controladas para las que se diseñaron los sistemas heredados.

Arreglar la seguridad de la API

Cuando se trata de aplicaciones basadas en API y microservicios, no se presta la atención adecuada a la seguridad, que a menudo no es un requisito documentado o medido.

“Además, incluso si la seguridad fuera un requisito, los equipos de desarrollo no saben cómo son las buenas API seguras”, señaló Kulkarni.

Ofreció estas estrategias para superar estos desafíos:

  • Pregunte siempre qué medidas de seguridad se han tomado para proteger las API que planea usar de un socio o tercero (interno o externo). Si preguntas, lo sabrás. De lo contrario, simplemente asumirá.
  • Pruebe sus API en producción, ya sean API de envoltura para sistemas heredados o nuevas aplicaciones de API. No hay sustituto para las pruebas en producción.
  • Asegúrese de que su equipo de gestión de productos documente los casos de abuso relacionados con la seguridad como requisitos durante el desarrollo. Haga de la seguridad un criterio de salida.

El equipo de seguridad debería incluir preguntar a los equipos de desarrolladores sobre las medidas de seguridad de la API como un elemento de la lista de verificación en sus criterios de aceptación, sugirió Kulkarni.

Además, se necesita una formación específica para los desarrolladores para garantizar que los desarrolladores dispongan de la formación necesaria para que sean eficaces y no sobrecargarlos, añadió.



Jack M. Germain ha sido reportero de ECT News Network desde 2003. Sus principales áreas de enfoque son TI empresarial, Linux y tecnologías de código abierto. Es un crítico estimado de distribuciones de Linux y otro software de código abierto. Además, Jack cubre ampliamente la tecnología empresarial y los problemas de privacidad, así como los desarrollos en el comercio electrónico y la electrónica de consumo. Envíe un correo electrónico a Jack.

.

[ad_2]

Source link