¿Sus API están filtrando datos confidenciales?

No es ningún secreto que las filtraciones de datos se han convertido en una gran preocupación tanto para los ciudadanos como para las instituciones de todo el mundo. Pueden causar serios daños a la reputación de una organización, inducir pérdidas financieras considerables e incluso tener serias repercusiones legales. Desde el infame escándalo de Cambridge Analytica hasta la filtración de datos de Equifax, ha habido filtraciones de bastante alto perfil que han tenido enormes consecuencias para las marcas más grandes del mundo.

Las infracciones también pueden tener un gran impacto en las personas, lo que en última instancia conduce a la pérdida de información personal, como contraseñas o detalles de tarjetas de crédito, que los delincuentes podrían utilizar con fines maliciosos. En particular, las víctimas quedan vulnerables al robo de identidad o al fraude financiero.

Cuando piensas en el gran volumen de estas filtraciones, uno podría imaginar que el mundo se detendría y se concentraría en los vectores de ataque que se están explotando. La desafortunada realidad es que el mundo no se detuvo. Para hacer las cosas más interesantes, es probable que el vector de ataque más destacado no sea lo que usted o cualquier otra persona piensa. Lo crea o no, las interfaces de programación de aplicaciones (API) son las principales culpables de la exposición y el compromiso.

Así es, los piratas informáticos explotan cada vez más las API para obtener acceso y filtrar datos confidenciales. Solo en 2022, el 76 % de los profesionales de ciberseguridad admitieron haber experimentado un incidente relacionado con la seguridad de API . Si eso no fuera lo suficientemente llamativo, las empresas de EE. UU. incurrieron en más de $ 23 mil millones en pérdidas por infracciones relacionadas con API durante el mismo período de tiempo. Y, lamentablemente, muchas organizaciones recién comienzan a darse cuenta.

Dicho esto, en este artículo exploraremos las posibles consecuencias de las fugas de datos, el rol y el impacto que tienen las API, y cómo las organizaciones pueden protegerse de estos riesgos.

Protección de datos que atraviesan sus API

Si trabaja en TI, es obvio cuán esenciales son los controles de seguridad para evitar que los datos confidenciales se expongan o se filtren. Como tal, las organizaciones deben tomar medidas adicionales para proteger sus datos del acceso no autorizado. Las empresas deben invertir en las últimas medidas de seguridad y asegurarse de que todos los empleados sean conscientes de la importancia de proteger la información confidencial. Si aún no se ha hecho una idea, este ejercicio definitivamente debería incluir invertir en seguridad de API.

Sorprendentemente para muchos profesionales de la tecnología, el tráfico API ahora representa más del 80 % del tráfico actual de Internet, y las llamadas API crecen el doble de rápido que el tráfico HTML. Cuando analiza esta estadística, rápidamente queda claro que las API interactúan con todo tipo de datos, incluidos datos confidenciales como información de tarjetas de crédito, registros de salud, números de seguridad social, etc. Sin embargo, no se presta tanta atención a proteger las API como la de seguridad de red, perímetro y aplicaciones. Para ser honesto, muchas organizaciones luchan incluso por saber cuántas API tienen realmente.

Bastante alarmante, ¿verdad? Como dice el viejo refrán, no puedes proteger lo que no puedes ver. Y sin un inventario de API preciso y una visión del tráfico de datos confidenciales, no puede abordar adecuadamente las posibles vulnerabilidades y la fuga de datos.

Las puertas de enlace de API y los firewalls de aplicaciones web (WAF) solo brindan una visibilidad limitada de su estado de API, ya que solo revelan el tráfico de API que se enruta a través de ellos. También tenga en cuenta que el inventario de API es más que un número. Necesita saber cuántas API tiene, incluidas las API ocultas y zombis, así como los tipos de datos con los que interactúan. ¿Cuál es el otro inconveniente de los WAF y las puertas de enlace? Simplemente no brindan visibilidad de los tipos de datos confidenciales que atraviesan sus API. Sin él, puede haber consecuencias nefastas si alguna vez se exponen datos confidenciales.

Cumplir con las normas de cumplimiento

Cuando considera la creciente cantidad de datos que se recopilan y almacenan, cumplir con las normas de cumplimiento de datos es igualmente importante para proteger los datos confidenciales. Eso puede sonar un poco extraño considerando cuán interdependientes son ambas prácticas, pero el cumplimiento de datos cubre una amplia gama de temas, incluidas las políticas de privacidad, las medidas de seguridad de datos y los derechos del cliente.

Para abordar variables como la industria, la geografía y el tipo de datos, los reguladores de todo el mundo continúan promulgando y ampliando los requisitos sobre cómo las organizaciones manejan la información confidencial, como GDPR, HIPAA, PCI DSS, CCPA, etc.

Cumplir con estas regulaciones puede ayudar a proteger la privacidad de los clientes, prevenir violaciones de datos y garantizar que los datos recopilados estén seguros y protegidos contra el acceso no autorizado o el uso indebido. Lo que significa que identificar dónde residen los datos, a dónde se mueven y desde dónde se accede a ellos es fundamental para garantizar el cumplimiento y evitar multas costosas.

Nuevamente, aquí es donde las API juegan un papel importante. Las API son el tejido conectivo entre sus aplicaciones y dispositivos. Ya sea que se dé cuenta o no, los datos confidenciales de su organización están atravesando las API. Desafortunadamente, la idea de mantener el cumplimiento dentro de una organización todavía se considera un ejercicio que involucra únicamente la infraestructura heredada. Los líderes empresariales y de TI deben cambiar rápidamente, ya que el cumplimiento está adquiriendo una dimensión completamente nueva con la llegada de las API. La visibilidad de la API debe ser primordial, ya que las fugas de datos confidenciales pueden dar lugar a importantes infracciones de cumplimiento.

Cómo proteger sus API y datos confidenciales

Las soluciones de seguridad de aplicaciones tradicionales han sido fundamentales en las pilas de ciberseguridad. Sin embargo, a pesar de su historial de éxito, las API presentan desafíos de seguridad únicos que estas soluciones no pueden abordar. Como establecimos anteriormente, las puertas de enlace de API y los WAF solo brindan visibilidad del tráfico de API que pasa a través de ellos.

Cuando se trata de tener las herramientas adecuadas, debe invertir en controles de seguridad de API durante todo el ciclo de vida del desarrollo de software para garantizar que sus API estén protegidas desde el código hasta la producción. Es realmente la única estrategia tangible si se toma en serio la protección de sus datos confidenciales y el cumplimiento de las normas de privacidad de datos. Los cuatro pilares que componen una plataforma de seguridad de API especialmente diseñada son el descubrimiento de API, la gestión de posturas, la protección del tiempo de ejecución y las pruebas de seguridad de API. Echemos un vistazo rápido a cada uno y cómo lo ayudan a proteger sus datos confidenciales:

Descubrimiento de API : el descubrimiento de API le permite identificar e inventariar todas sus API en todas las fuentes de datos y entornos.
Gestión de la postura : la gestión de la postura proporciona una vista completa del tráfico, el código y las configuraciones para evaluar la postura de seguridad de la API de la organización. también identifica todas las formas de datos confidenciales que se mueven a través de las API.
Protección en tiempo de ejecución : con tecnología de monitoreo basado en IA y ML, las herramientas en tiempo de ejecución detectan anomalías y amenazas potenciales en el tráfico de su API y facilitan la reparación en función de sus políticas de respuesta a incidentes preseleccionadas.
Pruebas de seguridad de API : las pruebas de seguridad de API buscan eliminar vulnerabilidades antes de la producción, reducir el riesgo y, por lo tanto, fortalecer su programa de cumplimiento.

Como puede ver, se requiere una plataforma de seguridad API integral para obtener un control completo sobre sus datos confidenciales. Sin embargo, también puede ser un poco abrumador. Dicho esto, un buen lugar para comenzar es familiarizándose con el manejo de la postura. Teniendo en cuenta que esta faceta es donde se clasifica y organiza la información de identificación personal (PII), probablemente sea mejor comenzar aquí. Puede descargar una copia gratuita de la Guía definitiva para la gestión de posturas de API para comenzar.

Fuente y redacción: thehackernews.com

Nuestra entrevista para la Revista ITNOW para Centroamérica y el Caribe

¿Han dejado de tener sentido los antivirus? Casi todas las amenazas son únicas.

El gasto en seguridad empresarial superará los $us 96.3 mil millones en 2018