No todas las organizaciones cuentan con una estrategia de seguridad de las API. Utilizar el modelo de confianza cero en la seguridad de las API es una forma de protegerlas y reducir sus posibilidades de sufrir ataques.

Las API son un eslabón esencial en las interacciones tecnológicas, ya que no sólo proporcionan conexiones entre aplicaciones modernas, sino también un medio para trabajar con infraestructuras heredadas. Sin embargo, este tejido conectivo es un objetivo privilegiado para los ataques. El proveedor de redes de entrega de contenidos Akamai ha informado de un aumento del 167% en los ataques a aplicaciones web entre 2021 y 2022, y Gartner ha pronosticado que las API se convertirán en el principal vector de ataque para las aplicaciones web en 2023.

Una forma de mitigar los ataques a las API consiste en implantar la confianza cero para protegerlas. El modelo de confianza cero parte de la base de que los usuarios y dispositivos no son de confianza por defecto. A continuación, la autenticación y autorización continuas comprueban si un dispositivo o usuario sigue siendo de confianza. Incluso entonces, sólo se concede un acceso mínimo durante un periodo limitado.

He aquí cuatro formas de utilizar la estrategia de confianza cero para mantener la seguridad de las API.

1. Seguridad de las API: inventario, evaluación y corrección de las API

 La confianza cero requiere conocer la superficie de ataque existente. Por tanto, el primer paso para proteger las API es descubrir e inventariar todas las API en uso, evaluar su uso continuado, así como los riesgos y vulnerabilidades potenciales, y corregir los problemas detectados, si es necesario.

Las herramientas de descubrimiento de API ayudan a encontrar y evaluar todas las API de la infraestructura informática, ya sean públicas, internas o conectadas a aplicaciones heredadas. Estas herramientas también pueden descubrir API funcionales conectadas a aplicaciones desactivadas.

Tras las fases de descubrimiento e inventario, determine si las API en cuestión deben seguir utilizándose, evalúe su nivel de seguridad y determine cómo protegerlas en el futuro. A continuación, repare las API vulnerables o desactive las que ya no sean necesarias.

2. Seguridad de la API: evaluación del acceso a los datos de la API y control de políticas

Una vez establecido el inventario, documente y gestione los datos a los que tienen acceso las API. Utilice herramientas como el software de gestión de bases de datos en la nube para obtener información sobre los datos a los que acceden actualmente las API. Reasigne o refuerce los derechos de acceso a los datos de las API según sea necesario mediante mecanismos de control de acceso en la base de datos.

Cree y aplique políticas de confianza cero para las API. Por ejemplo, utilice políticas de seguridad de datos para controlar el acceso a los mismos. En una política, especifique qué usuarios y funciones pueden acceder a distintos tipos de datos, cuándo pueden acceder a ellos y dónde pueden acceder a ellos. Utilice esta información para garantizar que sólo las API activas y seguras acceden a los datos a los que están autorizadas a acceder dentro de la infraestructura.

Además, considere investigar más a fondo los datos a los que acceden las API desactivadas, o destruirlos para reducir el riesgo.

3. Autenticación y autorización de API

La autenticación y la autorización son principios importantes para aplicar el modelo de confianza cero.

Considere cómo pueden interactuar los usuarios y dispositivos con las API. Trate cada API como un recurso y exija a los usuarios y dispositivos que se autentiquen y autoricen antes de permitir el acceso.

El acceso a la API debe utilizar políticas de acceso granulares de Confianza Cero, como el principio del menor privilegio. Además Para autenticar el tráfico de la API, aplique estándares como OpenID y OAuth 2.0. Otros métodos de autenticación a tener en cuenta son las claves de API, la autenticación HTTP y los tokens web JSON. El mejor método de autenticación de API variará en función de una API específica y sus usos. Por ejemplo, las claves de API suelen utilizarse para solicitudes de API más sencillas y no son tan seguras como OAuth o los tokens web JSON.

4. Limitación del caudal del PLC

Implemente la limitación de la tasa de API para ayudar a prevenir ataques a las API, como los ataques distribuidos de denegación de servicio (DDoS). Los atacantes maliciosos utilizan los ataques DDoS para saturar los servicios de API con una sobrecarga de llamadas a la API. Los ataques DDoS más sofisticados utilizan bots para realizar llamadas a la API que consumen más CPU o memoria para degradar los servicios.

En concreto, la limitación de velocidad por fuerza bruta restringe el número de llamadas a la API por minuto u hora utilizando un límite superior predefinido: todo lo que supere este límite se rechaza automáticamente. Una limitación más sofisticada restringe las llamadas a la API por día, hora, geolocalización o frecuencia de uso.

Para una protección adicional de la API, aplique otras prácticas recomendadas de seguridad de la API, como cifrar las solicitudes y respuestas, registrar las API en un registro de API y proteger las claves de API.