En los callejones de Black Hat y DEF CON 2023: La silenciosa crisis de seguridad de API

Inicio » Red de bloggers de seguridad » En los callejones de Black Hat y DEF CON 2023: La silenciosa crisis de seguridad de API

Las luces de neón de Black Hat y DEF CON, con sus demostraciones parpadeantes y presentaciones innovadoras, a menudo deslumbran tanto a los asistentes como a los entusiastas cibernéticos. Desde herramientas de piratería impulsadas por IA hasta cifrado cuántico, los temas tratados abarcan un amplio espectro. Sin embargo, como ocurre con cualquier ciudad vibrante, estas incluyen áreas de riesgo y preocupación. Para los eventos de Black Hat 2023, las API son fundamentales para estas áreas.

La notoria ausencia de conversaciones dedicadas a la seguridad de API en Black Hat

Históricamente, las API se han visto eclipsadas por amenazas de seguridad más visibles, a menudo relegadas al telón de fondo de los debates sobre ciberseguridad. Esta complacencia surge de una época en la que las API se percibían como objetivos secundarios, escondidos detrás de sólidas barreras de seguridad. Sin embargo, con la transformación del panorama digital, el uso de API se ha disparado, amplificando la interconexión de los servicios, haciendo que las API sean más vulnerables y, en consecuencia, objetivos atractivos.

A pesar de la omnipresencia de las API en la infraestructura digital actual, Black Hat curiosamente carecía de sesiones dedicadas exclusivamente a la seguridad de las API. Sin embargo, una parte importante de las conversaciones sobre ataques a aplicaciones web resaltaron la amenaza inminente que representan las API, y algunos incluso las enfatizaron como el vector de ataque más sustancial y de más rápido crecimiento. Estas discusiones, aunque sean indirectas, arrojan luz sobre la creciente importancia de las vulnerabilidades de las API. Es un claro recordatorio de que, si bien las API no siempre encabezan las sesiones, sus implicaciones de seguridad no pueden dejarse de lado.

‍API: la amenaza silenciosa

Las API son los conectores, los maestros detrás del escenario que permiten que nuestras aplicaciones, servicios y plataformas se comuniquen y armonicen en la economía digital. Sin embargo, su importancia estratégica contrasta marcadamente con su subrepresentación en la conversación sobre ciberseguridad.

En el espacio de expositores de Black Hat, se estaba produciendo un desarrollo significativo: los proveedores exhibieron activamente soluciones y plataformas ASPM (API Security Posture Management) promocionando conjuntos completos de pruebas de seguridad API.

‍¿Qué es ASPM?

La gestión de la postura de seguridad de las aplicaciones (ASPM) es un concepto emergente destinado a garantizar que las aplicaciones sigan siendo seguras y resistentes a las amenazas, especialmente en entornos de producción. ASPM proporciona una instantánea continua y completa del panorama de riesgos de la arquitectura de una aplicación, incluidos sus servicios, bibliotecas, API, superficies de ataque y flujos de datos. A medida que las empresas dependen cada vez más de las aplicaciones para impulsar sus operaciones, la evaluación continua de estas aplicaciones se vuelve primordial para garantizar la seguridad y reducir los riesgos comerciales.

‍¿Por qué es importante ASPM?

En la era digital actual, donde las aplicaciones están en el centro de las operaciones comerciales y las experiencias de los clientes, las vulnerabilidades de las aplicaciones pueden tener impactos catastróficos. No sólo exponen a las empresas a posibles infracciones, sino que también plantean importantes riesgos financieros y de reputación. ASPM aborda los siguientes desafíos:

‍¿Vale la pena la ASPM para las organizaciones?

La respuesta tiene matices: depende de las complejidades específicas de una organización y de dónde se encuentra actualmente en su camino hacia la seguridad. Si bien existe un valor innegable en tener una visión holística de la postura de seguridad de una aplicación, dada la creciente dependencia de las aplicaciones y la naturaleza cambiante de las arquitecturas modernas, la integración de ASPM debe calibrarse según el programa de seguridad existente y el nivel de experiencia de una organización. Para algunos, ASPM cambiará las reglas del juego y mejorará la resiliencia contra las amenazas. Para otros, podría ser una capa adicional que necesita una cuidadosa integración y comprensión. La clave es evaluar su relevancia y aplicabilidad en su contexto específico.

Sin embargo, si bien ASPM puede ser un componente importante de una estrategia de seguridad moderna, es crucial abordarlo con ojo perspicaz. Al comprender su valor y ser conscientes de los posibles obstáculos, las organizaciones pueden asegurarse de que realmente están reforzando la seguridad de sus aplicaciones, en lugar de limitarse a marcar casillas. Específicamente, las organizaciones necesitan:

‍Cuidado con el “lavado de seguridad de API”: Así como el "lavado de la nube" era una tendencia en la que los proveedores afirmaban capacidades de la nube sin ofrecerlas realmente, hoy existe el riesgo de un "lavado de seguridad de API". A medida que crece el enfoque en la seguridad de las API, algunos proveedores podrían subirse al tren sin proporcionar realmente las capacidades necesarias. Es esencial examinar minuciosamente las soluciones y garantizar que ofrezcan un valor real.

‍Reconozca que no existe una solución milagrosa para la seguridad de las API: Si bien ASPM puede ser importante, es un error creer que un solo proveedor puede cubrir todos los aspectos de la seguridad de aplicaciones y API de manera integral. A menudo se dice: “se necesita un pueblo”, y esta perogrullada se aplica en el ámbito de la seguridad. Depender únicamente de una solución o proveedor que afirma hacerlo todo puede generar brechas en su postura de seguridad. Es esencial diversificar las herramientas y estrategias y garantizar que cada una se adapte a necesidades específicas.

‍Comprender que la complejidad puede ser un arma de doble filo : Si bien es ventajoso tener una herramienta integral que cubra múltiples aspectos de la seguridad, también existe el riesgo de complejidad. Si una herramienta es demasiado compleja, puede provocar configuraciones erróneas o lagunas en la comprensión, lo que puede ser tan peligroso como no tener ninguna herramienta. Intentar “hacerlo todo” también puede conducir a soluciones “a mitad de camino”. Asegúrese de que cualquier solución que adopte no solo sea sólida sino también fácil de usar y bien comprendida por su equipo.

En lugar de impulsar soluciones integrales, una solución más sólida será enriquecer el ecosistema con conocimientos de API, fortaleciendo una variedad de herramientas en el proceso y garantizando un mejor resultado de seguridad. En lugar de inclinarse hacia la consolidación, este enfoque fomenta la colaboración, reuniendo la experiencia de varios líderes de la industria. Si bien el “todo en uno” puede ofrecer simplicidad a corto plazo, corre el riesgo de tener lagunas en las funciones y una innovación limitada. Por el contrario, un ecosistema enriquecido promueve la flexibilidad y una gama diversa de soluciones, equipando a las empresas para abordar los desafíos emergentes de seguridad de API.

‍El camino a seguir

La narrativa que surge de Black Hat y DEF CON 2023 necesita un replanteamiento. El tema subyacente de muchas conversaciones reconoce la crisis de seguridad de API, pero esa conversación no fue una parte abierta del programa. Estas conferencias deben arrojar luz sobre los desafíos y compromisos resultantes de las brechas de seguridad de las API para que las empresas puedan desarrollar una comprensión más profunda de cómo prevenir tales amenazas. Esa profundidad es crucial para que las empresas puedan evaluar críticamente las ofertas de los proveedores y examinar los diversos enfoques de los proveedores.

En los callejones digitales de nuestro ámbito interconectado, las API actúan como custodios silenciosos. A medida que Black Hat y DEF CON 2023 llegan a su fin, nuestro llamado a las armas es claro: resaltar la crisis silenciosa de la seguridad de API y fomentar un futuro digital fortalecido con estrategias de seguridad efectivas, flexibles y centradas en API.

‍

*** Este es un blog sindicado de Security Bloggers Network del blog Salt Security escrito por Salt Technical Engineering. Lea la publicación original en: https://salt.security/blog/in-the-alleys-of-black-hat-and-def-con-2023-the-quiet-api-security-crisis