Las fallas en la implementación de API en una empresa pueden generar problemas de postura. Los más comunes incluyen puntos finales ocultos, acceso a recursos no autenticados, datos confidenciales en una URL, una política permisiva de intercambio de recursos entre orígenes (CORS) y errores excesivos del cliente.
Los problemas de tiempo de ejecución, por otro lado, son amenazas activas que exigen una acción inmediata. Estos incluyen intentos de acceso a recursos no autenticados, actividad de API con cargas útiles JSON inusuales, intentos de confusión de parámetros de ruta, marcas de tiempo de API ilógicas, geolocalización o secuencia y extracción de datos.
Recomendaciones para mitigar amenazas
La adopción de un programa integral de seguridad API brinda a las organizaciones una visibilidad incomparable en todo su ecosistema digital. Esto incluye descubrir todas las API dentro de la organización, auditar sus niveles de riesgo, detectar comportamientos anormales indicativos de abuso y permitir investigaciones dirigidas por expertos para buscar amenazas ocultas.
Este enfoque por niveles es crucial para identificar vulnerabilidades y protegerse contra posibles infracciones, garantizando una defensa sólida frente a las ciberamenazas en evolución.
«Esto incluye poner todas las API detrás de controles de seguridad y tener respuestas automatizadas para mitigar los ataques o alertar al equipo de operaciones de seguridad», dice el informe. “A continuación, practicar pruebas de desplazamiento a la izquierda durante el desarrollo puede abordar estas vulnerabilidades y debilidades desde el principio, antes de que los atacantes puedan explotarlas. Por último, es necesario realizar ejercicios para validar tanto las medidas preventivas como la respuesta a la crisis”.
Akamai también recomendó el cumplimiento de determinadas regulaciones para mejorar la seguridad de la API. Si bien las leyes específicas que rigen las API pueden ser limitadas, vale la pena considerar ciertos marcos. Estos incluyen el Reglamento General de Protección de Datos (GDPR), la versión 4.0 del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) recientemente actualizado y las pautas establecidas por el Instituto Nacional Estadounidense de Estándares (ANSI).