Los ataques a aplicaciones web y API de servicios financieros aumentan en un 257%


Consulte las sesiones a pedido de Low-Code/No-Code Summit para aprender cómo innovar con éxito y obtener eficiencias al mejorar y escalar a los desarrolladores ciudadanos. mira ahora.


Administrar la superficie de ataque es uno de los desafíos más difíciles que enfrentan los equipos de seguridad modernos. En los entornos híbridos y de múltiples nubes de hoy en día, cada aplicación y API es un objetivo potencial que los ciberdelincuentes pueden explotar y aprovecharán.

Hoy, el proveedor de CDN Akamai Technologies, Inc. publicó un nuevo informe que revela un crecimiento del 257 % en los ataques a aplicaciones web y API contra instituciones de servicios financieros año tras año.

El mismo informe también reveló que los ataques DDoS contra instituciones de servicios financieros han aumentado un 22 % año tras año y que los actores de amenazas están utilizando técnicas en sus campañas de phishing para eludir las soluciones de autenticación de dos factores.

Si bien los hallazgos se relacionan con las instituciones de servicios financieros, el informe tiene implicaciones más amplias para las empresas y destaca que las aplicaciones web y las API son un objetivo clave para los ciberdelincuentes en el futuro.

Evento

Cumbre de seguridad inteligente

Conozca el papel fundamental de la IA y el ML en la ciberseguridad y los estudios de casos específicos de la industria el 8 de diciembre. Regístrese para obtener su pase gratis hoy.

Regístrate ahora

Ataques API y superficie de ataque creciente

Akamai no es el único proveedor que ha notado la creciente tendencia de los ataques a las API. Un estudio publicado por Noname Security reveló que el 41 % de las organizaciones tuvo un incidente de seguridad de API en los últimos 12 meses, y el 63 % involucró una violación o pérdida de datos.

Una de las razones principales de la gran cantidad de explotaciones de API dirigidas a empresas e instituciones de servicios financieros es que existe una gran superficie de ataque de aplicaciones web y API que la mayoría de los equipos de seguridad no tienen los recursos o la experiencia para proteger.

«Las empresas han trasladado la infraestructura clave a APIS, por lo que los delincuentes están rastreando los ingresos. Pero además de eso, las API son más nuevas y, en muchos casos, no tienen el mismo nivel de madurez en los procesos y controles de seguridad, por lo que son más vulnerables». dijo Steve Winterfield, CISO asesor de Akamai.

«Finalmente, los ataques son más fáciles de automatizar porque están diseñados para la automatización. Estos factores se combinan para hacer que las API sean un lugar inteligente para que los atacantes se concentren. Esta es también la razón por la cual los CISO deben enfocarse en ellos», dijo Winterfield.

Trabajar en la seguridad de la API

Las organizaciones pueden tomar una serie de pasos para aumentar su resiliencia frente a las amenazas basadas en API.

En un alto nivel, Gartner recomienda que las organizaciones inviertan en tecnologías que descubran, cataloguen y validen automáticamente las API, mientras desarrollan una estrategia de seguridad que incorpore pruebas de seguridad de API y control de acceso a las API.

El aumento de la transparencia sobre las API internas y de terceros en uso garantiza que las organizaciones puedan comenzar a mitigar las vulnerabilidades potenciales en la superficie de ataque.

Además, Winterfield recomienda que las empresas revisen sus modelos de riesgo para determinar si han clasificado las amenazas de fraude y de los clientes apropiadas en función de estos nuevos datos, mientras actualizan las defensas contra el phishing para contrarrestar los últimos ataques de MFA con capacidades compatibles con FIDO2.

En términos más generales, la implementación de mejores prácticas y procesos de la industria, como Cyber ​​​​Kill Chain y la arquitectura Zero Trust 800-207 de NIST, puede ayudar a desarrollar la resiliencia cibernética contra las amenazas más recientes.

La misión de VentureBeat es ser una plaza pública digital para que los tomadores de decisiones técnicas aprendan sobre la tecnología empresarial transformadora y realicen transacciones. Descubre nuestras sesiones informativas.



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *