Las API (interfaces de programación de aplicaciones) son una parte fundamental de las estrategias de transformación digital, y protegerlas es uno de los principales retos. Las API son una superficie de ataque en rápido crecimiento que no se conoce bien y que los desarrolladores y los responsables de seguridad de las aplicaciones pueden pasar por alto.
Tómelo del Proyecto de Seguridad de API de OWASP: "Las API son una parte crítica de las aplicaciones móviles, SaaS y web modernas y pueden encontrarse en aplicaciones orientadas al cliente, a los socios e internas. Por naturaleza, las API exponen la lógica de la aplicación y datos sensibles como la información de identificación personal (PII) y, por ello, se han convertido cada vez más en un objetivo para los atacantes. Sin API seguras, la innovación rápida sería imposible".
De nuevo, de OWASP:
API Security se centra en estrategias para mitigar los riesgos de seguridad específicos de las API. Las vulnerabilidades tradicionales son menos comunes en las aplicaciones basadas en API:
La seguridad de las API es importante porque las empresas las utilizan para conectar servicios y transferir datos, por lo que una API pirateada puede provocar una filtración de datos.
En diciembre de 2021, Cloudflare informó de que las llamadas a API representaban el 54% del total de solicitudes y aumentaron un 21% de febrero a diciembre de 2021. Los atacantes se han dado cuenta y se han centrado más en las API.
Las pruebas de seguridad de las API forman parte de las capacidades básicas del MQ de Gartner para las pruebas de seguridad de las aplicaciones.
Las API se han convertido en una parte esencial de las aplicaciones modernas (por ejemplo, aplicaciones de una sola página o móviles), pero los conjuntos de herramientas AST tradicionales pueden no probarlas completamente, lo que lleva a la necesidad de herramientas y capacidades especializadas. La capacidad de descubrir API tanto en entornos de desarrollo como de producción y de probar el código fuente de las API, así como la capacidad de ingerir tráfico registrado o definiciones de API para apoyar las pruebas de una API en ejecución, son funciones típicas.
OWASP ha anunciado recientemente la versión candidata de la API Security Top 10. Más información sobre el proyecto OWASP API Security. Aquí está el top 10:
Seguridad de la API con Fortify:
Defender con precisión, asegurar con confianza
Desbloquee las pruebas de seguridad, la gestión de vulnerabilidades y los conocimientos y asistencia personalizados
Detecte y solucione los problemas de seguridad en una fase temprana con los resultados más precisos del sector
Identificar vulnerabilidades en aplicaciones y servicios web desplegados
Permitir el inicio de sesión único y el control de acceso en todas las plataformas