Servicios CIS, como mitigación de DDoS y firewall de aplicaciones web para proteger la puerta de enlace API y abordar cualquier otro desafío de seguridad

Descripción general

La base de las transiciones digitales de varias empresas es la interfaz programable de aplicaciones (API). La importancia de las API en el lugar de trabajo está creciendo, ya sea que se utilicen para crear aplicaciones en nuevos microservicios nativos de la nube y arquitecturas sin servidor, automatizar actividades de empresa a empresa o actuar como back-end para aplicaciones móviles. Desafortunadamente, los ciberdelincuentes son conscientes de este movimiento hacia un mundo centrado en API y están desarrollando nuevos métodos de ataque a un ritmo igual al de expansión de API. Por lo tanto, las empresas necesitan implementar urgentemente nuevas medidas de seguridad para proteger sus API y otros activos digitales. Combinar una puerta de enlace API con un sistema de gestión de acceso API, que ofrece un punto de control centralizado con políticas cuidadosamente monitoreadas y gestión de acceso contextual, es el método ideal para proteger sus API. Las organizaciones podrán comprender sus riesgos específicos, identificar agujeros de seguridad e identificar amenazas si una aplicación web y una solución de seguridad API se integran en la planificación, ejecución u optimización de la estrategia de seguridad de la información.

Tipos de riesgos de seguridad de aplicaciones web

Dependiendo de los objetivos del atacante, el tipo de trabajo realizado por la organización objetivo y las fallas de seguridad específicas de la aplicación, se pueden utilizar diferentes tipos de ataques contra las aplicaciones web.

• Defectos de día cero: Estos fallos aún no han sido descubiertos por ningún desarrollador de aplicaciones y aún no hay una solución disponible. Los ataques tienen como objetivo aprovechar estas fallas lo antes posible y luego, con frecuencia, intentan atravesar las defensas de los proveedores de seguridad.
• Inyección SQL (SQi): al utilizar la inyección SQL (SQi), un atacante puede aprovechar las fallas en la forma en que una base de datos procesa las consultas de búsqueda. Los atacantes pueden cambiar o agregar permisos de usuario, acceder a información no autorizada, manipular o eliminar datos confidenciales y más usando SQi

En julio de 2022, un grave problema de inyección SQL que afectaba a los productos GMS (Sistema de gestión global) y Analytics On-Prem de SonicWall se hizo público recientemente en un aviso de seguridad. El error tiene una calificación crítica de 9,4 y se rastrea como CVE-2022-22280. Debido a la mínima complejidad del ataque de esta vulnerabilidad y al tremendo potencial de daño, cualquier persona con conocimientos básicos de inyección SQL puede explotarla. No es necesaria la interacción o autenticación del usuario para utilizar CVE-2022-22280 desde la red.

• Secuencias de comandos entre sitios (XSS): es una falla de seguridad que permite a un atacante insertar secuencias de comandos del lado del cliente en una página web para obtener acceso directo a información crucial, hacerse pasar por el usuario o engañar al usuario para que revele información crucial.
• Ataques de denegación de servicio (DoS) y de denegación de servicio distribuido (DDoS): los atacantes pueden utilizar varios vectores diferentes para inundar un servidor objetivo o la infraestructura que lo rodea con varios tipos de tráfico de ataque. Un servidor comienza a actuar con lentitud y eventualmente rechaza el servicio de solicitudes entrantes de usuarios genuinos cuando ya no puede manejar eficientemente las solicitudes entrantes.

Según el "Informe de inteligencia sobre amenazas 2023" de Check Point, una sola empresa india sufrió 2.146 ataques cibernéticos en promedio por semana durante los últimos seis meses, en comparación con 1.239 ataques por organización a nivel internacional. Con el despliegue más rápido de plataformas, aplicaciones y entornos digitales para el trabajo remoto desde casa que provocó el COVID-19, los ataques DDoS aumentaron a nivel mundial. Las crisis geopolíticas, concretamente la guerra de Rusia contra Ucrania y sus aliados de la OTAN, también están asociadas con un aumento significativo de los ataques DDoS, particularmente en los sectores de salud, energía y servicios públicos, y logística y cadenas de suministro. Estos crecientes ataques DDoS están dirigidos a la infraestructura esencial de los adversarios.

Comcast Business declaró en un informe de 2022 que detuvo con éxito 24,845 ataques DDoS multivectoriales en 2021, un aumento del 47% con respecto a 2020. En 2021, el 69% de los clientes de Comcast experimentaron ataques DDoS, y el 55% de ellos fueron objetivos de ataques multivectoriales. .

El mercado global de denegación de servicio distribuido ha experimentado un crecimiento sustancial en los últimos años debido al aumento de las amenazas DDoS en los entornos de IoT. Además, el aumento de los ataques DDoS multivectoriales y la creciente demanda de soluciones de mitigación y protección DDoS híbridas y basadas en la nube también se consideran los principales factores que impulsan el crecimiento en el período previsto.

Para obtener más información sobre el estudio, visite:https://www.databridgemarketresearch.com/es/reports/global-distributed-denial-of-service-market

• Abuso de API: El software que permite que dos aplicaciones se conecten se conoce como API o interfaz de programación de aplicaciones. Como cualquier tipo de software, pueden incluir fallas que permitan a los piratas informáticos insertar código nefasto en un programa en particular o espiar información privada a medida que se transfiere entre aplicaciones. A medida que aumenta el uso de API, este tipo de ataque se vuelve más frecuente
• Abuso de Código de terceros: Las aplicaciones web modernas suelen utilizar una amplia gama de herramientas de terceros. Un ejemplo es un [sitio de comercio electrónico] que utiliza un servicio de procesamiento de pagos de terceros. Si un atacante descubre una falla en una de estas herramientas, es posible que pueda robar los datos que procesa, impedir que funcione o explotarla para introducir código malicioso en otras partes de la aplicación. Esta clase de ataque incluye ataques magecart, que roban información de tarjetas de crédito de los procesadores de pagos. Estos ataques a veces se denominan ataques a la cadena de suministro a los navegadores.
• Raspado de página: Los atacantes también pueden utilizar robots para extraer contenido sustancial de los sitios web. Podrían utilizar esta información para rebajar los precios de un rival, hacerse pasar por el propietario de la página con fines malvados u otros objetivos.
• Corrupción de la memoria: La corrupción de la memoria es la modificación involuntaria de una ubicación de la memoria, lo que puede provocar que el software se comporte inesperadamente. Los malos actores intentarán detectar daños en la memoria y utilizar exploits como la inyección de código o ataques de desbordamiento de búfer para su beneficio.
• Desbordamiento del búfer: una anomalía de software conocida como búfer surge cuando los datos se escriben en un área designada de la memoria. Los datos se reescriben en regiones de memoria cercanas cuando el búfer alcanza su límite. Este comportamiento se puede utilizar para inyectar código malicioso en la memoria de la máquina de destino, lo que quizás genere una vulnerabilidad.

En agosto de 2023, Ivanti Avalanche, una herramienta de gestión de movilidad empresarial (EMM) creada para gestionar, vigilar y proteger varios dispositivos móviles, se vio afectada por dos desbordamientos de búfer basados ​​en pila etiquetados conjuntamente como CVE-2023-32560. Las vulnerabilidades se pueden explotar de forma remota sin autenticación del usuario y están clasificadas como críticas (CVSS v3: 9.8), lo que permite a los atacantes ejecutar código arbitrario en el sistema de destino.

• CSRF (falsificación de solicitudes entre sitios): la falsificación de solicitudes entre sitios se logra engañando a una víctima para que envíe una solicitud utilizando su autenticación o autorización. Un atacante puede enviar una solicitud haciéndose pasar por un usuario utilizando los derechos de cuenta del usuario. Una vez que un atacante ha obtenido acceso a la cuenta de un usuario, puede filtrar, eliminar o alterar datos confidenciales. Los objetivos suelen incluir cuentas altamente protegidas, como administradores o ejecutivos.
• Relleno de credenciales: Los atacantes pueden utilizar bots para ingresar rápidamente una gran cantidad de combinaciones de nombres de usuario y contraseñas robadas en los portales de inicio de sesión de una aplicación en línea. Esto se conoce como "relleno de credenciales". Si el atacante puede acceder a la cuenta de un usuario real debido a esta práctica, puede robar los datos del usuario o realizar transacciones fraudulentas utilizando el nombre del usuario.
• Configuraciones erróneas de la superficie de ataque: Los servidores, dispositivos, SaaS y activos en la nube a los que se puede acceder a través de Internet constituyen toda la huella de TI de una organización, que es susceptible a ataques cibernéticos. Una superficie de ataque puede seguir siendo vulnerable al omitir o configurar algunos componentes

Estrategias para la seguridad de aplicaciones web

• Mitigación de DDoS: Los servicios de mitigación de DDoS utilizan filtros especializados y una capacidad de ancho de banda muy alta para interponerse entre un servidor y la Internet pública, evitando que oleadas de tráfico malicioso inunden el servidor. Estos servicios son críticos ya que varios ataques DDoS contemporáneos generan suficiente tráfico malicioso para inundar incluso los servidores más resistentes.
• Gestión de robots: Esta técnica separa el tráfico automatizado de los usuarios humanos y prohíbe a los primeros acceder a una aplicación web mediante aprendizaje automático y otras técnicas de detección especializadas.

El mercado de detección de botnets ha experimentado un crecimiento sustancial en los últimos años debido a la creciente utilización de API en varios negocios en línea, a saber, juegos, comercio electrónico y otros. Por lo tanto, monitorear continuamente las solicitudes de API, implementar una arquitectura de confianza cero y desplegar técnicas instantáneas de mitigación de bots dañinos son algunas formas de proteger las API de los ataques de bots.

Según el análisis de Data Bridge Market Research, se proyecta que el mercado global de detección de botnets crecerá a una tasa de crecimiento anual compuesta (CAGR) del 38,30% de 2022 a 2029.

Para obtener más información sobre el estudio, visite:https://www.databridgemarketresearch.com/es/reports/global-botnet-detection-market

• Cortafuegos de aplicaciones web (WAF): Estos dispositivos bloquean el tráfico que se sabe que explota vulnerabilidades de aplicaciones web conocidas o sospechadas. La rápida y sigilosa aparición de nuevas vulnerabilidades hace que los WAF sean cruciales porque casi ninguna organización puede detectarlas por sí sola.
• Gestión de los componentes esenciales del proceso de cifrado SSL/TLS, como la creación de claves privadas, la renovación de certificados y la revocación de certificados por fallas de un tercero. Esto elimina la posibilidad de que ciertos componentes se pasen por alto y expongan el tráfico confidencial.
• Puertas de enlace API: Estas herramientas pueden encontrar "API ocultas" omitidas y detener el tráfico que se sabe o se cree que está dirigido a explotar las vulnerabilidades de las API. Ayudan a gestionar y realizar un seguimiento del tráfico API.

El mercado de gestión de interfaces de programación de aplicaciones (API) ha experimentado un crecimiento sustancial en los últimos años debido a la creciente necesidad de API para mejorar la transformación digital y el desarrollo de la gestión de API híbrida y multinube para que las empresas satisfagan la demanda de los usuarios, lo que complementará aún más la crecimiento del mercado en el período de pronóstico. Según el análisis de Data Bridge Market Research, se proyecta que el mercado global de análisis predictivo crecerá a una tasa de crecimiento anual compuesta (CAGR) del 31,05% de 2023 a 2030.

Para obtener más información sobre el estudio, visite:https://www.databridgemarketresearch.com/es/reports/global-api-management-market

• DNSSEC: Una tecnología que garantiza que la comunicación DNS para una aplicación web se dirija adecuadamente a los servidores correctos, protegiendo a los usuarios de ser interceptados por un atacante en ruta.
• Seguridad del lado del cliente: Esto ayuda a las organizaciones a detectar comportamientos maliciosos antes al verificar si hay nuevas dependencias de JavaScript de terceros y cambios en el código de terceros.
• Gestión de la superficie de ataque: Utilice una ubicación para mapear su superficie de ataque, encontrar posibles problemas de seguridad y mitigar rápidamente esos riesgos utilizando herramientas prácticas de administración de la superficie de ataque.

Prácticas ideales para la seguridad de aplicaciones para diferentes empresas

• Proporcionar autorización y autenticación seguras: Fuertes reglas de seguridad de contraseñas integradas y aplicadas, opciones para autenticación multifactor que incluyen claves físicas, funciones de control de acceso y otros procedimientos hacen que sea más difícil para los atacantes obtener acceso no autorizado a cuentas de usuario y moverse lateralmente dentro de su aplicación.
• Requerir validación de entrada: Evitar que código dañino ingrese a la aplicación a través de un ataque de inyección al evitar que los flujos de trabajo de la aplicación procesen datos con formato incorrecto.
• Utilizando las técnicas de cifrado más recientes: Almacenar los datos del usuario en un formato cifrado y utilizar HTTPS para cifrar la transmisión del tráfico entrante y saliente ayudan a prevenir el robo de datos por parte de los piratas informáticos.
• Documentación de cambio de codificación: Esto permite a los equipos de seguridad y desarrollo abordar rápidamente las vulnerabilidades recién descubiertas.
• API de monitoreo: Existen herramientas para encontrar 'API ocultas' que han pasado desapercibidas pero que podrían ser una superficie de ataque; sin embargo, la seguridad de las API se simplifica si, en primer lugar, nunca se pasan por alto las API.

Utilización de servicios de controles de seguridad críticos (CIS) en diferentes industrias

Las empresas de muchas industrias, incluidas aquellas con regulaciones estrictas, pueden utilizar Bot Management y otros productos CIS impulsados ​​por Cloudflare para satisfacer las demandas de seguridad, rendimiento y resiliencia. Por ejemplo:

• Cuidado de la salud – Según IBM Cost of a Data Breach Report, el coste medio de una filtración de datos en el sector sanitario aumentó de 10,10 millones de dólares en 2022 a 10,93 millones de dólares en 2023, lo que supone un aumento del 8,2%. Los servicios CIS son aún más esenciales para ayudar a detener estos costosos ataques porque la atención médica tiene el mayor costo por filtración de datos por decimotercer año consecutivo. Los clientes de atención médica pueden utilizar la combinación de CIS DDoS, WAF y Bot Management para ayudar a mitigar los sofisticados ataques de bots de malware.
• Servicios financieros - Los bancos y otras instituciones financieras pueden emplear servicios CIS como mitigación de DDoS y firewall de aplicaciones web (WAF) para abordar problemas de seguridad. Los clientes pueden defender sus aplicaciones conectadas a Internet contra diversos exploits, incluidos los ataques de día cero, utilizando las políticas de firewall de aplicaciones web (WAF) llave en mano.
• comercio electrónico - El creciente uso de API en el comercio electrónico también ha planteado la posibilidad de que surjan problemas de seguridad con las API. Las organizaciones de comercio electrónico pueden proteger las puertas de enlace API mediante servicios CIS para la protección DDoS
• Educación más alta - Las organizaciones educativas alojan grandes cantidades de datos sobre todos los estudiantes, profesores y ex alumnos a través de sus extensas redes, en particular las instituciones de educación superior. Luego, los ciberdelincuentes pueden utilizar estos datos para promover sus ataques a objetivos específicos o esquemas de mayor escala contra instituciones en su conjunto.
• Construcción - El sector de la construcción está plagado de trabajadores "propensos al phishing". El tipo de datos que recopila la industria de la construcción sirve de inspiración para tales ataques. Los ciberatacantes están interesados ​​en datos personales e información valiosa, como secretos comerciales, cronogramas de construcción, estimaciones de costos y ofertas de proyectos, entre otros. La información comercial robada puede provocar lesiones graves y pérdidas financieras. El marco de control del CIS aborda los problemas y debilidades existentes en el sector
• Automotor - La industria del automóvil hoy ve los vehículos conectados y autónomos como máquinas inteligentes que recopilan grandes cantidades de datos de telemetría. Esta industria tiene un motivo para examinar más de cerca la seguridad de las API debido a las filtraciones de vulnerabilidades y los exploits de prueba de concepto basados ​​en API.
• Pequeñas y medianas empresas no representan una industria ya que pueden pertenecer a cualquier subcategoría. Si bien podría parecer lógico que los piratas informáticos se sintieran menos atraídos por activos relativamente menos valiosos de las "organizaciones" más pequeñas que las empresas más grandes, esto está lejos de ser el caso. Según datos de Verizon, las pequeñas empresas han estado involucradas en un sorprendente 28% de todas las filtraciones de datos en 2020. Las pequeñas empresas con frecuencia tienen menos dinero y procesan menos datos que las grandes empresas, pero también tienen soluciones de seguridad menos confiables. Además, muchas pequeñas empresas cuentan con escasa o nula ciberseguridad.

Iniciativas estratégicas adoptadas por diferentes empresas

• En agosto de 2023, Cloudflare declaró que IBM Cloud Internet Services (CIS), impulsado por Cloudflare, ha aumentado la gama de servicios que ofrece, incluido Cloudflare Bot Management, al que ahora pueden acceder las empresas con el Enterprise Premier Plan para ayudarlas a abordar y contrarrestar la creciente amenaza que representa el tráfico de bots dañinos
• En junio de 2023, SecureIQLab, un proveedor de validación en la nube, lanzó su tercera iteración de prueba de Web Application Firewall (WAF 3.0). En esta versión se incluirán los primeros casos de prueba de seguridad de API de su tipo. WAF 3.0 evaluará las soluciones de seguridad líderes en el mercado por su capacidad para sobrevivir al complejo escenario de ciberamenazas actual.
• En mayo de 2023, Radware presentó una nueva solución Cloud Web DDoS Protection. Las técnicas modernas de mitigación de DDoS están siendo superadas por una nueva generación de ataques HTTPS Flood de capa 7 (L7) más agresivos, comúnmente conocidos como ataques Web DDoS Tsunami. Este enfoque pretende cerrar esta brecha. Minimiza los falsos positivos y ofrece una amplia cobertura de ataques contra ataques de día cero y los ataques más avanzados.
• En abril de 2023, Edgio ideó una gestión avanzada de bots que brinda observabilidad de los bots buenos y al mismo tiempo mitiga de manera proactiva una variedad de bots malos emergentes. Advanced Bot Manager utiliza el aprendizaje automático para identificar bots basándose en firmas y huellas dactilares de comportamiento, aprovechando los grandes volúmenes de datos recopilados continuamente a partir de la gran implementación global de la plataforma. Para analizar todo el tráfico en busca de bots en tiempo real en toda la red global de Edgeio, la solución se ejecuta de forma nativa en cada servidor.
• En octubre de 2022, Akamai lanzó una solución de protección distribuida de denegación de servicio (DDoS) llamada Prolexic, una nueva plataforma de sexta generación. Es una arquitectura escalable, de alto rendimiento y totalmente definida por software que mejora la capacidad de satisfacer las necesidades cambiantes de los consumidores y los próximos requisitos de ciberseguridad.

Conclusión

A medida que las empresas migren a la nube, lo que permitirá la digitalización de conjuntos de datos, servicios y bienes masivos, la seguridad de las API será cada vez más crucial en 2023 y más allá. Con este cambio, la superficie de ataque de las API vulnerables aumenta, lo que requiere reforzar los servicios de API para salvaguardar las operaciones comerciales, los clientes y los datos. Dentro de la comunidad de ciberseguridad y para muchas organizaciones, la seguridad de API está ascendiendo en la lista de prioridades. La seguridad de las API es ahora un tema crucial, ya que las API expuestas o configuradas incorrectamente brindan una excelente oportunidad para que los actores de amenazas se infiltren en una red.