Las integraciones de API a menudo manejan datos confidenciales, como información de identificación personal (PII) de los empleados, información financiera de las empresas o incluso datos de tarjetas de pago de los clientes.
Mantener estos datos a salvo de los atacantes, al tiempo que se garantiza que las integraciones funcionen al nivel deseado, requiere la adopción de varias medidas de seguridad.
La importancia de tomar estas medidas solo aumentará, ya que cada vez más organizaciones buscan crear integraciones API orientadas al cliente (es decir, integraciones de productos). (Después de encuestar recientemente a 260 gerentes de producto e ingenieros para nuestro Informe sobre el estado de las integraciones de productos de 2024, descubrimos que el 83% de las empresas han identificado la integración de productos como una de sus principales prioridades para este año).
Las organizaciones pueden crear integraciones API seguras internas y orientadas al cliente a escala siguiendo los siguientes pasos:
Adopte un enfoque holístico de la seguridad mediante el uso de una puerta de enlace API
Una puerta de enlace API utiliza varios métodos para minimizar y prevenir amenazas en los puntos finales de API. Estos incluyen los siguientes (entre otros):
- Registro de solicitudes de API para que puedan auditarse fácilmente
- Aplicar límites de tarifas globales para evitar posibles abusos y atender a los usuarios de manera más equitativa
- Bloquear solicitudes de direcciones IP y/o regiones específicas que son conocidas por llevar a cabo actividades maliciosas
Utilice ámbitos para seguir el principio de privilegio mínimo
Incluso después de que un usuario esté autenticado y autorizado, probablemente no debería (y no necesita) acceder a todos los datos desde un punto final determinado.
Por ejemplo, un usuario necesita detalles específicos (nombre, apellido, gerente y cargo) sobre los empleados del sistema de información de recursos humanos (HRIS) de la empresa. El usuario debería poder obtener esta información a través de una solicitud de API, sin poder recuperar información altamente confidencial que no necesita (por ejemplo, números de seguro social de los empleados e información bancaria).
Dado que los ámbitos pueden definir permisos personalizados para un token de acceso, pueden ayudar a facilitar escenarios como el anterior. Si un token de acceso cayera en las manos equivocadas, los alcances evitan muchas consecuencias negativas, ya que la persona que obtiene el token de acceso solo puede acceder a un conjunto limitado de datos y funciones.
Actualice el software periódicamente para minimizar las áreas débiles
Para garantizar que se corrijan las vulnerabilidades de una aplicación y que sus capacidades de seguridad mejoren constantemente, la aplicación debe actualizarse con la mayor frecuencia posible.
Una forma de hacerlo es activando alertas cuando haya una actualización disponible para una aplicación determinada. Y si esa no es una opción, existen otros enfoques, como actualizar el sistema operativo o utilizar una herramienta de terceros que pueda actualizar automáticamente la aplicación.
Vale la pena señalar que incluso cuando una aplicación tiene instalada la última actualización, aún puede presentar riesgos de seguridad. Una herramienta de prueba de seguridad de aplicaciones estáticas ( SAST ) puede ayudar a identificar y abordar cualquiera que exista en una aplicación actualizada.
Aplicar un límite de velocidad específico para un punto final de API determinado
Los límites de velocidad pueden evitar que un atacante potencial sobrecargue un punto final de API de modo que los usuarios reales no puedan acceder a él (es decir, un ataque de denegación de servicio); puede controlar una avalancha de solicitudes que provienen de múltiples fuentes (es decir, un ataque distribuido de denegación de servicio); puede frenar los ataques de fuerza bruta; y puede evitar el robo de datos .
Además de sus beneficios de seguridad, vale la pena utilizar los límites de velocidad por una variedad de otras razones: ayudan a controlar los costos, garantizan un rendimiento confiable, reducen los errores, permiten al proveedor de API mantener el cumplimiento de regulaciones específicas de privacidad de datos y más.
Funnel registra a una solución SIEM para descubrir problemas de seguridad a tiempo
Analizar los registros de las llamadas API a escala puede consumir mucho tiempo, ya que requiere revisar miles, si no millones, de registros a lo largo del tiempo. El análisis manual de registros también puede provocar costosos errores humanos, como perder un registro que muestra una posible amenaza a la seguridad.
Para facilitar la revisión de los registros y abordar cualquiera de los problemas de seguridad que revelan, se pueden agregar a una solución de gestión de eventos e información de seguridad (SIEM) en tiempo real.
A través de la solución SIEM, un equipo o empleado predefinido puede recibir alertas en tiempo real sobre actividades sospechosas. La solución también puede combinar los registros con otros datos que almacena para identificar amenazas más complejas.
Fuente y redacción: helpnetsecurity.com
