Cultura

Cequence Security aumenta la visibilidad para proteger las API del tráfico inadecuado

Las interfaces de programación de aplicaciones, o API, son un arma de doble filo en la infraestructura de TI actual. Son una fuerza impulsora detrás de muchos esfuerzos de transformación digital, pero los actores de amenazas los aman por muchas de las mismas razones por las que los desarrolladores los aman.

Las API permiten la integración entre numerosas aplicaciones para permitir experiencias web y móviles modernas, y esto las convierte en una vía codiciada para que los ciberdelincuentes exploten las vulnerabilidades en estas aplicaciones. Gartner ha observado un aumento interanual del 30% en las consultas de los clientes relacionadas con la seguridad de la API y predice que los abusos de la API se trasladarán al vector de ataque más frecuente para 2022, lo que resultará en violaciones de datos para las aplicaciones web empresariales.

“Lo que estamos descubriendo entre nuestros clientes es que hay brechas elementales que se están dejando atrás en las API, por ejemplo, API que no están autenticadas”. dijo Subbu Iyer (en la foto), vicepresidente de gestión de productos de Cequence Security Inc. “Y es prácticamente como dejar la puerta de entrada abierta y permitir que cualquiera entre”.

Iyer habló con Dave Vellante, presentadora de theCUBE, el estudio de transmisión en vivo de SiliconANGLE Media, durante el AWS Startup Showcase: The Next Big Things in AI, Security & Life Sciences. Analizaron los principales incidentes y violaciones de seguridad relacionados con API, así como cómo Cequence Security aborda estos problemas. (* Divulgación a continuación).

Conocer las API es el punto de partida

Los ataques cibernéticos han atraído la atención del público recientemente por afectar a grandes empresas como el buró de crédito Experian Inc., el fabricante de equipos de ejercicio Peloton Inc. y la popular plataforma de redes sociales Clubhouse. Para las tres empresas, una API abierta permitió exponer datos personales confidenciales.

El punto de partida de cualquier solución que tenga como objetivo proteger las API es la visibilidad, según Iyer.

“En una época en la que las API son ubicuas, como si todo hablara con todo lo demás mediante las API, la falta de conocimiento de cuántas API existen y que un cliente ha expuesto es el desafío número uno con el que cualquiera debería comenzar”, afirmó.

Esto significa que las empresas deben identificar las API que son internas y de terceros, son conocidas y desconocidas y van desde el borde hasta el entorno de la malla de servicios.

“Una vez que ha descubierto todas esas API, básicamente observa el riesgo que representan para usted”, explicó Iyer. “¿Cuántas de esas API no están autenticadas? ¿Cuántas de esas API utilizan formas de autenticación muy débiles o exponen información confidencial o están sujetas a algunos de los otros riesgos habituales? “

La falta de autenticación y la autenticación débil son las fallas más básicas y frecuentes en las API, según Iyer. En este caso, “los atacantes realmente ni siquiera tienen que sudar para encontrar el camino alrededor de ellos y entrar”, dijo.

El exceso de exposición de datos confidenciales es otro problema, catalogado como uno de los 10 principales por Open Web Application Security Project, u OWASP, una comunidad en línea que produce artículos, metodologías, documentación, herramientas y tecnologías disponibles gratuitamente para la seguridad de aplicaciones web.

LEER  Aprende a hacer un juego - 40 - Colisiones terminadas

“Una de las cosas clave que hacemos en Cequence es brindar visibilidad a nuestros clientes sobre qué forma, qué API están exponiendo información de datos confidenciales… y realmente, ¿cómo están filtrando esta información? ¿Está en el cuerpo de respuesta? ¿Está en el encabezado de respuesta? Y así sucesivamente ”, destacó Iyer. “Entonces, realmente les damos la capacidad de determinar dónde está ocurriendo la fuga”.

Para permitir esta visibilidad a los clientes, Cequence aprovecha una puerta de enlace API, balanceador de carga o aplicaciones de microservicios para obtener una imagen completa de cómo se ve la superficie de ataque de sus aplicaciones.

“Todos estos se convierten en lo que llamamos sensores que esencialmente comunican información a un depósito central y agregan toda esa información”, dijo Iyer. “Y ahí es donde se realizan muchos análisis para ver quién se comunica [with] todas estas API “.

‘Blindaje a la derecha’ mientras se cambia a la izquierda

Después de dar visibilidad a las API, la plataforma de Cequence permite acciones de mitigación en las que los clientes actúan en tiempo de ejecución para detener el tráfico malo. Por ejemplo, si la etapa de visibilidad encuentra API desconocidas, como una versión más nueva de una API que se ha hecho pública de manera incorrecta, el producto de mitigación de Cequence se encargará de eso.

“Pueden usar Cequence para bloquear esencialmente el tráfico a esas API, estas API inéditas o estas API ocultas que nunca deberían haberse hecho públicas pero que son públicas, ya sea por errores involuntarios por parte de alguien o por ciertas lagunas de cumplimiento”, explicó Iyer.

Cequence ve sus soluciones estrechamente alineadas con el ciclo de vida del desarrollo y complementarias al enfoque de cambio a la izquierda, lo que significa insertar pasos de seguridad en el medio del proceso de desarrollo. La empresa cree en un equilibrio en el que se disponga de “mecanismos de protección del derecho de protección” adecuados para respaldar una adopción más segura del cambio a la izquierda.

“Mientras protegemos la derecha, permitimos que los clientes comiencen a desplazarse hacia la izquierda para que puedan comenzar a probar algunas de estas API antes de que entren en producción”, dijo Iyer. “Absolutamente vemos eso como una evolución para los clientes”.

Toda la solución Cequence se implementa como software como servicio en cualquier tipo de infraestructura. La empresa puede crear un entorno en la nube en cuestión de minutos u horas, según Iyer.

“El backend puede consumirse como una aplicación basada en software, como una aplicación Docker o Kubernetes en las instalaciones del cliente, o consumirse dentro de la nube de secuencia, por lo que el cliente no necesita absolutamente nada para ser administrado o mantenido”, concluyó Iyer. .

Esté atento a la entrevista en video completa y asegúrese de ver más de la cobertura de SiliconANGLE y theCUBE sobre AWS Startup Showcase: The Next Big Things in AI, Security & Life Sciences. (* Divulgación: Cequence Security Inc. patrocinó este segmento de theCUBE. Ni Cequence Security ni otros patrocinadores tienen control editorial sobre el contenido de theCUBE o SiliconANGLE).

Foto: SiliconANGLE

Muestre su apoyo a nuestra misión uniéndose a nuestro Cube Club y a la Comunidad de expertos de Cube Event. Únase a la comunidad que incluye Amazon Web Services y pronto será el CEO de Amazon.com, Andy Jassy, ​​el fundador y CEO de Dell Technologies, Michael Dell, el CEO de Intel, Pat Gelsinger, y muchas más luminarias y expertos.

Únete a nuestra comunidad

Celebraremos nuestra segunda exhibición de startups en la nube el 16 de junio. Haga clic aquí para unirse al evento Startup Showcase gratuito y abierto.

“TheCUBE es parte de re: Invent, ustedes saben, ustedes realmente son parte del evento y realmente apreciamos que hayan venido aquí y sé que la gente también aprecia el contenido que crean” – Andy Jassy

Realmente queremos saber de usted. Gracias por tomarse el tiempo de leer esta publicación. Esperamos verte en el evento y en el Club CUBE.

Author

Moisés Cabrera

Encantado de emprender, el Internet es como pez en el rio para mi y quiero aportar valor a este mundo digital. Si crees que es de interés estos artículos no dudes en comentar.

¿Te gusta nuestro contenido?Recibe noticias y estrategias digitales a tu correo.

No pierda la oportunidad de recibir también descuentos de nuestros servicios.