Cloudflare también observó que muchas organizaciones carecen de un inventario completo de sus API, lo que dificulta su gestión. Casi un 31 % más de puntos finales de API de transferencia de estado representacional (REST), la ubicación de API responsable de aceptar solicitudes y enviar respuestas, fueron descubiertos por Cloudflare. aprendizaje automático herramientas que las observadas por los identificadores de sesión proporcionados por el cliente.
Según Cloudflare, las aplicaciones que no han sido administradas o protegidas por la organización que las utiliza, también conocidas como Shadow API, a menudo son introducidas por desarrolladores o usuarios individuales para ejecutar funciones comerciales específicas.
“Un estudio propio mostró altos porcentajes (67%) de API abiertas para consumo público, (64%) que conectan aplicaciones con socios y (51%) que conectan microservicios, y altas tasas de actualizaciones de API, incluido un 35% con actualizaciones diarias. y el 40% con actualizaciones semanales”, dijo Marks. «Por lo tanto, es una cuestión de un número cada vez mayor de API y de la posibilidad de que los piratas informáticos quieran aprovechar las vulnerabilidades que a menudo son el resultado de un descuido».
DDoS es la principal amenaza API
El cincuenta y dos por ciento de todos los errores de API procesados por Cloudflare se atribuyeron al código de error 429, que es un código de solicitud de estado HTTP para «demasiadas solicitudes». Esto se ve respaldado por el hecho de que el 33% de las mitigaciones de API incluyeron el bloqueo de la denegación de servicio distribuido (DDoS).
«Esta es un área importante: a veces subestimamos u olvidamos los ataques DoS y DDoS», dijo Marks. «El principal factor de seguridad de las aplicaciones suele ser el tiempo de actividad de las aplicaciones, por lo que la capacidad de bloquear ataques DoS/DDoS suele ser una prioridad para la seguridad de las API».
Otros errores principales de API incluyeron solicitudes incorrectas (código de error 400) con un 13,8 %, no encontradas (código de error 404) con un 10,8 % y no autorizadas (código de error 401) con un 10,3 %.