La «carrera armamentista» de la seguridad API se está calentando

Las empresas están comenzando a darse cuenta del enorme riesgo de seguridad que puede traer el uso omnipresente de las interfaces de programación de aplicaciones (API), pero muchas aún no se han puesto al día.

Las API con seguridad deficiente se han reconocido como un problema durante años. Por ejemplo, las filtraciones de datos descubiertas por T-Mobile y Facebook en 2018 se debieron a errores de API.

Pero la seguridad de las API ha pasado a un primer plano ahora a medida que las empresas de todas las industrias se trasladan a los negocios digitales, un cambio que requerirá muchas, muchas API. El software actúa como intermediario entre diferentes aplicaciones y permite que las aplicaciones y los sitios web accedan a más datos y obtengan una mayor funcionalidad.

El impacto de las API en hacks de alto perfil como el ataque SolarWinds también está provocando que más y más empresas presten atención a la seguridad de las API, aunque muchas todavía tienen que actuar, dice Peter Firstbrook de Gartner.

«Cuando les pregunto quién es responsable de la seguridad de API, la mayoría de las empresas miran la mesa en blanco», dijo en la Cumbre de Gestión de Riesgos y Seguridad de Gartner, la conferencia virtual de Estados Unidos esta semana.

Eso tiene que cambiar, dijo Firstbrook, vicepresidente y analista de la firma de investigación. El proveedor de seguridad de API Salt Security informó que su base de clientes experimentó un aumento del 348% en los ataques basados ​​en API en los primeros seis meses de 2021.

«Las API son un punto de ataque cada vez mayor», dijo Firstbrook. “Internet funciona con API. Existe una gran necesidad de seguridad API «.

Dinamismo en el mercado

Aún así, hay indicios de que cada vez más clientes están invirtiendo en asegurar sus API a medida que la cantidad de productos en esta área continúa creciendo.

Salt Security, que se fundó en 2016 y tiene oficinas en Silicon Valley e Israel, ha anunciado los nombres de numerosos clientes, incluidos The Home Depot, el operador de centros de datos Equinix y la empresa de telecomunicaciones Telefónica. Para impulsar su crecimiento, la compañía anunció que recaudaría $ 100 millones el año pasado, incluida una C-Round de $ 70 millones en mayo.

Un nuevo participante en este espacio, Noname Security, informa que su producto de seguridad API ha experimentado un rápido tirón desde su lanzamiento en febrero.

La startup ya tiene dos de las cinco compañías farmacéuticas más grandes del mundo, uno de los tres minoristas más grandes del mundo y uno de los tres proveedores de telecomunicaciones más grandes del mundo entre sus clientes, dijo Karl Mattson, director de seguridad de la información de Noname Security. . Con sede en Palo Alto, California, la compañía ha recaudado $ 85 millones desde su inicio en 2020, incluida una ronda de Serie B de $ 60 millones en junio.

Otras empresas cibernéticas con ofertas de seguridad API notables incluyen Ping Identity, 42Crunch, Traceable, Signal Sciences (propiedad de Fastly) e Imperva, quienes fortalecieron su plataforma de seguridad API este año con la adquisición de una empresa emergente en el mercado, CloudVector para tener . Otras startups en este espacio incluyen Neosec, que salió del sigilo en septiembre y anunció una ronda de Serie A por valor de $ 20,7 millones.

Pero como muestra el informe de Salt Security sobre el aumento de los ataques basados ​​en API, también lo son los atacantes, mientras que los defensores abordan el problema de seguridad de las API.

«Es una carrera armamentista en este momento», dijo Mattson de Noname. “Creo que los atacantes pueden ver que atacar y comprometer las API no es tan complicado. Y los abogados defensores también llegan rápidamente a la conclusión «.

Explotaciones de API

Los ataques basados ​​en API más comunes implican explotar las políticas de autenticación y autorización de una API, dijo. En estos ataques, el pirata informático rompe la intención de autenticación y autorización de la API para acceder a los datos.

«Ahora, un actor no intencionado accede a un recurso como los datos confidenciales de los clientes y la empresa cree que nada salió mal», dijo Mattson.

Firstbrook dijo que los aspectos de seguridad de la API del ataque SolarWinds muestran cuán crítico puede ser realmente el problema.

Al implantarlos en el software de monitoreo de red SolarWinds Orion, los atacantes obtuvieron acceso a un entorno proporcionado por el proveedor de seguridad de correo electrónico Mimecast, señaló. Y Mimecast, debido a que proporciona funciones antispam y antiphishing para los usuarios de Microsoft Office 365, tuvo acceso a la API de Office 365.

Los atacantes utilizaron la clave API de Microsoft para obtener acceso a los entornos de Exchange de los 4.000 clientes reportados, dijo Firstbrook. Mimecast, que publicó su informe sobre el incidente en marzo, se negó a comentar sobre VentureBeat.

En última instancia, el incidente subraya la necesidad de centrarse mucho más en la seguridad de API en todas las industrias, dijo Firstbrook.

“Parte de la cadena de suministro se basa en API”, dijo. «Realmente necesitamos desarrollar las mejores prácticas para administrar y comprender las API y proteger las API».