Noticias

Estado de la seguridad de las API

Nuevo informe de Salt Security

[21/06/2024] Salt Security ha presentado los resultados del Informe sobre el estado de la seguridad de las API 2024. La investigación, que analizó las respuestas a la encuesta de 250 profesionales de TI y seguridad, combinadas con datos empíricos anónimos de los clientes de Salt, destaca la falta de madurez de la seguridad de las API y la gobernanza de la postura en las organizaciones, lo que lleva a un aumento de los incidentes de seguridad de las API y el tráfico de ataques.

"La investigación encontró que casi todos (95%) de los encuestados experimentaron problemas de seguridad en las API de producción, y el 23% sufrió brechas como resultado de las deficiencias de seguridad de las API. El volumen de API dentro de las organizaciones también se está acelerando, con datos de clientes de Salt que muestran un aumento del 167% en el recuento de API en los últimos 12 meses, y casi dos tercios (66%) de los encuestados indican que están administrando más de 100 API. Con el aumento del uso de la API, se amplía la superficie de ataque de la API, lo que aumenta la actividad maliciosa, sostuvo Roey Eliyahu, cofundador y CEO de Salt Security, en el comunicado de prensa.

El informe de 2024 también destaca la actual falta de madurez de la seguridad de las API. "Solo el 7,5% de las organizaciones consideran que sus programas de seguridad de API son 'avanzados' y, de manera alarmante, más de un tercio (37%) de los encuestados, que tienen API ejecutándose en producción, no tienen una estrategia de seguridad de API activa. A pesar de esto, casi la mitad (46%) de los encuestados afirmó que la seguridad de las API es una discusión de nivel C dentro de su organización, indicó el ejecutivo.

Según la investigación, las estrategias de gobernanza de la postura de las API, que proporcionan un marco estructurado para gestionar y proteger todo el ecosistema de las API, desde el diseño hasta la implementación, también siguen siendo un fenómeno relativamente nuevo. "En la actualidad, solo el 10% de las organizaciones cuenta con una estrategia de gobernanza de la postura de la API. Sin embargo, al darse cuenta de su importancia crítica, casi la mitad (47%) planea implementar dicha estrategia en los próximos 12 meses. Al implementar un sólido motor de gobernanza de la postura de la API, las organizaciones pueden obtener una visibilidad completa de su panorama de API, eliminar los puntos ciegos y establecer estándares y regulaciones de seguridad en toda la empresa en todo su ecosistema de API, comentó Eliyahu.

Otras conclusiones del Informe son:

La amenaza de los ataques a las API está creciendo: La investigación reveló que los incidentes de seguridad de las API van en aumento.

  • Los incidentes de seguridad de las API se duplicaron con creces en los últimos 12 meses, y el 37% de los encuestados experimentó un incidente, en comparación con solo el 17% en el 2023.
  • El análisis de Salt Labs de los datos de los clientes descubrió que los atacantes están utilizando una amplia gama de tácticas, y una parte significativa elude los protocolos de autenticación. Casi dos tercios (61%) de los ataques no están autenticados.
  • Las API internas también son vulnerables, ya que el 13% de los intentos de ataque se dirigen explícitamente a ellas.

Las API zombis siguen siendo una de las principales preocupaciones entre los encuestados: Los encuestados expresaron altos niveles de preocupación sobre los riesgos potenciales asociados con las API "zombis", es decir, las API obsoletas y olvidadas dentro de los ecosistemas.

  • Un 70% destaca las API zombis como una preocupación grande o fuerte, frente al 54% en el 2023.
  • La apropiación de cuentas y la denegación de servicio encabezan la segunda y tercera preocupación, respectivamente.

El descubrimiento de API sigue siendo un desafío: El descubrimiento de API se destacó como un obstáculo continuo para muchas organizaciones.

  • Solo el 58% de las organizaciones cuentan con procesos para descubrir API en toda su infraestructura.
  • Menos del 15% de los encuestados están muy seguros de que entienden qué API exponen información de identificación personal (PII).

Los métodos tradicionales son insuficientes para protegerse contra los ataques modernos

  • Solo el 21% de los encuestados cree que sus enfoques actuales de seguridad de API son efectivos para proteger contra ataques de API, lo que indica problemas con los métodos existentes.
  • Los gateways de API (54%), el análisis de archivos de registro (45%) y los firewalls de aplicaciones web (WAF) (42%) son las herramientas más comunes que las organizaciones están aprovechando para detectar y prevenir la actividad maliciosa de la API, pero siguen siendo insuficientes y carecen de confianza del usuario.

Las actualizaciones de API se realizan con más frecuencia y las organizaciones luchan por mantenerse al día con la documentación: El rápido cambio de las API, combinado con el uso cada vez mayor de las API generadas por IA, ha dejado obsoletos los métodos de documentación tradicionales.

  • Más de un tercio de las organizaciones actualizan sus API al menos una vez a la semana (38%), y una parte significativa (13%) realiza actualizaciones diarias.
  • Solo el 12% de los encuestados se siente muy seguro de la precisión de su inventario de API, lo que pone de manifiesto una falta de confianza generalizada en la postura de seguridad.

Los atacantes siguen el Top 10 de OWASP: Un gran porcentaje de los ataques a la API se dirigen a las debilidades de seguridad conocidas descritas en la lista de las 10 principales de seguridad de la API de OWASP.

  • El 80% de los intentos de ataque aprovechan uno o más de los 10 métodos principales descritos en la lista.
  • A pesar de esta base de conocimientos establecida, solo el 58% de las organizaciones priorizan la protección contra las amenazas de API descritas por OWASP.

Eliyahu finalizó comentando que el Informe sobre el estado de la seguridad de las API, 2024, fue elaborado por investigadores de Salt Labs, la división de investigación de Salt Security, utilizando datos de encuestas de casi 250 encuestados de una amplia gama de responsabilidades laborales, sectores y tamaños de empresas de todo el mundo. El 20% de los encuestados eran líderes de seguridad o TI de nivel ejecutivo, y otro 18% dentro de los equipos de plataforma o DevOps. Las empresas de tecnología y servicios financieros, ampliamente consideradas como la vanguardia del uso de API, representaron el 37% de los encuestados. Las empresas, grandes y pequeñas, estuvieron representadas por igual. El informe también incluye datos reales de intentos de ataque a la API de la plataforma de protección de API de Salt Security. Estos datos de los clientes son anonimizados, agregados y luego analizados por los investigadores de Salt para identificar tendencias críticas que pueden ayudar a educar a la industria de la seguridad en general.

Llegamos a ustedes gracias a:

CTOPeru toGo

BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »