Cómo construir una estrategia de seguridad de API

Cree una estrategia de seguridad de las API: primeros pasos

Antes de formular una estrategia de seguridad de las API, las partes interesadas deben preguntarse por qué la necesitan. Tal vez sea para abordar requisitos regulatorios específicos, como PCI DSS o la Payment Services Directive 2; ​​mejorar la postura de seguridad; proteger activos críticos; o responder a un incidente. Una comprensión clara del por qué da forma al alcance, el ritmo y las tácticas de la estrategia de seguridad de las API.

Una característica definitoria de la seguridad de las API es que a menudo involucra a más partes interesadas que los proyectos de software tradicionales. Otras partes interesadas podrían incluir a los propietarios de productos API, los equipos de la plataforma API y los equipos de protección de datos. Incluya las aportaciones de la mayor variedad posible de partes interesadas.

Después de establecer el propósito y las partes interesadas, es hora de crear un inventario, priorizar los riesgos, realizar mejoras rápidas e implementar el modelado de amenazas.

Cree un inventario de API

Las API están en todas partes en las pilas de tecnología modernas y son relativamente fáciles de crear e implementar. Esto significa que las organizaciones suelen tener más API de las que creen y carecen de un catálogo completo de API.

Cree un inventario de API para comprender el alcance del uso de API. Solicite al equipo de gateway de API una lista de ellas y examine los repositorios de código para conocer las especificaciones de API.

Realice una evaluación de riesgos de API

Una vez que haya completado el inventario, realice una evaluación de riesgos para priorizar las API. A menos que una organización tenga recursos ilimitados, es probable que no pueda proteger todas las API desde el principio. Concéntrese en las API más críticas para que la estrategia de seguridad de API pueda ofrecer mejoras a los activos comerciales más críticos lo antes posible.

Clasifique las API utilizando las siguientes medidas:

• Sensibilidad de los datos. Priorice las API que alojan datos altamente confidenciales, como información de identificación personal.
• Impacto comercial. Priorice las API que brindan las funciones comerciales más críticas, como una API de back-end de emisión de boletos de avión.
• Factores de riesgo técnico. Priorice las API alojadas en sistemas obsoletos o sin soporte, como hardware heredado.

Considere la postura de seguridad de API para obtener ganancias rápidas

Es importante mostrar un progreso temprano para obtener el apoyo de las partes interesadas. Las API tienen muchas áreas para encontrar ganancias rápidas que pueden generar mejoras significativas en la postura de seguridad. Considere lo siguiente:

• Ejecute un análisis de vulnerabilidad de red para identificar API expuestas sin seguridad de transporte o aquellas que carecen de autenticación.
• Audite la implementación de la puerta de enlace de API existente y habilite todas las funciones de seguridad con políticas sensatas. Esto se puede hacer de forma central y global, y puede ser una mejora de seguridad rápida y eficiente.
• Audite los registros de tráfico de red para detectar actividad sospechosa, como errores 403 frecuentes o errores 429 de limitación de velocidad que indican ataques a las API.

Asegure las API mediante el modelado de amenazas

El modelado de amenazas es un componente clave de cualquier estrategia de seguridad. Su objetivo es identificar la superficie de ataque, la arquitectura y los detalles de implementación y las posibles debilidades. En el caso de las API, realice el modelado de amenazas a nivel de la organización (en plataformas SaaS, puertas de enlace de API, autenticación, etc.) y en API individuales, centrándose en los fallos de diseño e implementación que pueden generar riesgos de seguridad.

Desarrolle y ejecute la estrategia de seguridad de API

No existe una estrategia de seguridad de API que se adapte a todos los casos. Las motivaciones específicas de una organización para la seguridad de API determinarán los elementos de su estrategia. Por ejemplo, las organizaciones en industrias altamente reguladas deben centrarse principalmente en la gobernanza, mientras que las organizaciones que se recuperan de una violación probablemente se centrarán más en la protección.

Una estrategia de seguridad de API holística generalmente se centra en los siguientes seis pilares fundamentales:

1. Inventario. Mantenga un inventario actualizado para mantener la visibilidad de la superficie de ataque. Concéntrese en cómo se introducen nuevas API en la organización, el monitoreo de los repositorios de código para API y la detección en tiempo de ejecución del tráfico de API.
2. Diseño. Utilice una filosofía de desplazamiento a la izquierda para diseñar API, centrándose en áreas clave como los requisitos de autenticación, autorización y privacidad de datos. Imponga el uso de un enfoque que priorice el diseño a través de las especificaciones OpenAPI, que permiten que las herramientas de análisis automatizado analicen el código de las API y envíen alertas sobre cualquier problema descubierto.
3. Desarrollo. Amplíe las pautas de desarrollo seguro existentes para incluir aspectos específicos de las API, como la configuración de bibliotecas y marcos para que sean seguros de forma predeterminada, el uso de autenticación y autorización centralizadas y otras prácticas de codificación defensiva.
4. Pruebas. Las pruebas automatizadas y continuas de las API para detectar defectos de seguridad pueden mejorar drásticamente la seguridad de las API para los equipos de DevSecOps. Las pruebas automatizadas pueden identificar problemas de autenticación y autorización, exposición excesiva de información, problemas de validación de entrada y falta de limitación de velocidad. También pueden identificar desviaciones de la especificación OpenAPI y respuestas o códigos de estado no válidos. Estas pruebas se ejecutan casi en tiempo real con comentarios inmediatos y precisos, lo que las hace adecuadas para los procesos de integración continua/entrega continua.
5. Protección. Para reforzar la seguridad de las API, emplee la protección en tiempo de ejecución de las API mediante funciones de puerta de enlace de API o firewalls de API. Aplique la validación de token web JSON, el transporte seguro y la protección contra fuerza bruta. Integre el registro de API en los sistemas SIEM y monitoréelo de forma proactiva en el centro de operaciones de seguridad.
6. Gobernanza. Una estrategia de seguridad de API debe incluir la gobernanza del desarrollo de API. Tener controles de seguridad de API y mejores prácticas definidas como parte de una estrategia también requiere un proceso de gobernanza para garantizar que dichos controles se implementen y apliquen de manera uniforme en toda la organización.

Al diseñar una estrategia, considere el alcance inicial, que puede abarcar dos enfoques:

• Profundo y estrecho, donde se selecciona un alcance estrecho de API para un enfoque en profundidad.
• Superficial y amplio, donde todas las API están dentro del alcance de la estrategia.

En general, primero ampliar y luego afinar el enfoque funciona bien para la mayoría de las organizaciones.

Después de definir la estrategia, el paso final es una comunicación clara y abierta con todas las partes interesadas. Esto debe incluir los motivos de la iniciativa, las áreas de enfoque, los plazos y las expectativas de las partes interesadas relevantes. Además, incluya detalles de los aspectos operativos, como el seguimiento y la presentación de informes.

Haga el seguimiento del progreso de la estrategia de seguridad de API

Para realizar un seguimiento del éxito de la estrategia a lo largo del tiempo, mida varias métricas para determinar el rendimiento y el progreso. Las métricas se dividen en dos categorías principales:

1. Métricas de proceso. Estas incluyen el porcentaje de cobertura, el cumplimiento, las excepciones, el tiempo de reparación, las API protegidas, etc.
2. Métricas técnicas. Estas incluyen el recuento de fallas identificadas, las categorías de fallas, los problemas detectados, etc.

Establezca un indicador de rendimiento para cada métrica y realice un seguimiento de su progreso mediante paneles centrales.