SensediaSensediaSensediaSensedia
  • API Products
    • API Platform
    • API Governance
    • Event-Driven Architecture
    • PCI
    • Flexible Actions
  • API Services
    • Sensedia Professional Services
  • Solutions
    • APIs para Aseguradoras​
    • Open Banking
    • Retail & E-commerce
  • Blog
  • Contacto
    • Contacto
    • Clientes
  • Carrera
  • Español
    • Portugués, Brasil
    • Inglés

Top 10 Riesgos de Seguridad en la Web (OWASP) y como atenuarlos con API Management

By Nicholas Gimenes | APIs | 0 comment | 5 diciembre, 2017 | 0

OWASP 2017 TOP 10 Riscos de Segurança e APIs

 

Seguridad de APIs y de Apps

Datos críticos en la nube, acceso móvil desde todas partes, IoT, Open Banking, plataformas digitales habilitadas por APIs ̶ ¿y la seguridad?, ¿cómo es?

Las APIs son la base para la transformación digital. La expansión de las aplicaciones web y de los ecosistemas digitales impulsados por las web APIs aumentaron las preocupaciones por la seguridad debido a tanta exposición. En el estudio realizado por Sensedia en colaboración con IDC, la seguridad fue el tema considerado de mayor importancia en las estrategias de APIs (85% de las empresas grandes y medianas).

OWASP (Open Web Application Security Project), con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.

El ranking se basa en datos recogidos y en consultas a la comunidad, clasificando los riesgos de acuerdo con OWASP Risk Rating Methodology y atribuyendo una graduación de 3 niveles para los siguientes criterios: Dificultad del Ataque (Exploitability), Prevalencia del Riesgo, Detección del Riesgo (Detectability) e Impactos Técnicos.

Agentes de Amenaza Dificultad del Ataque Prevalencia del Riesgo Detección del Riesgo Impactos Técnicos Impactos en la Actividad
Específico de la Aplicación Fácil Generalizada Fácil Severo Específico de la Actividad/Aplicación
Media Común Media Moderado
Difícil Rara Difícil Pequeño

OWASP Risk Rating Methodology

En el texto preliminar (RC1), el ítem «APIs desprotegidas» fue sugerido para integrar el ranking de 2017, aunque fue retirado debido a que las Web APIs son susceptibles a varios de los riesgos mencionados, no teniendo mucho sentido crear una categoría aparte. No obstante, en el texto nuevo, se hicieron nuevas menciones a APIs y a API Security Gateway.

Las modificaciones en los ítems del ranking fueron las siguientes:

  • Tópicos retirados, pero no olvidados
    • 2013-A8 Cross-site Request Forgery (CSRF)
    • 2013-A10 Unvalidated Redirects and Forwards
  • Tópicos agregados
    • 2017-A4 XML External Entity (XXE)
    • 2017-A8 Insecure Deserialization
    • 2017-A10 Insufficient Logging & Monitoring

 

OWASP TOP 10 2013 - 2017

OWASP 2017 TOP 10 Risk Rating Methodology

Clasificación de los riesgos: puede haber variaciones según las características de cada organización

 

De acuerdo a lo mencionado en la RC1, detectar vulnerabilidades en APIs puede resultar más difícil que en las aplicaciones, debido a la falta de una interfaz (UI) para pruebas y del uso de estructuras más complejas de datos. Por otra parte, muchas veces las APIs tienen comunicación directa con sistemas críticos y, cuando tienen brechas, pueden facilitar el acceso y manipulación no autorizada de datos sensibles, incluso llegando al secuestro total del sistema.

La utilización de una plataforma completa de API Management actúa también como capa de protección para el backend, con recursos para la detección de fallas y de apoyo al diseño adecuado de las APIs, además de viabilizar la separación de ambientes e implementar otros mecanismos para seguridad, control y análisis.

 

OWASP 2017 APIs Security

A10 OWASP 2017 RC1 – item incluyo en la versión parcial, pero removido de la versión final

 

Ranking 2017 OWASP Top 10 Riesgos de Seguridad en la Web

A continuación, se describen los 10 riesgos del nuevo ranking de la OWASP 2017 y las principales formas para atenuarlos:

 

A1 – Inyección

Las fallas causadas por inyección (como inyección de SQL) se producen cuando datos maliciosos son enviados a un interpretador, que pueden ser interpretados como comandos o consultas que pueden habilitar acciones indeseadas.

Dificultad del Ataque Prevalencia del Riesgo Detección del Riesgo Impactos Técnicos
Fácil Común Fácil Severo

 

¿Cómo prevenir?

Para prevenir este tipo de ataque es necesario validar si los datos traficados por las APIs contienen comandos recursivos en SQL, JSON, XML, entre otros, y evitar por completo el uso del interpretador, proporcionando una interfaz parametrizada. Vea más: Injection Prevention Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Se puede aplicar Interceptors de SQL threat protection, JSON threat protection, XML threat protection.

 

A2 – Quiebre de Autenticación

Los usuarios se pueden apoderar o comprometer la autenticación por claves, contraseñas, cookies y obtener accesos no autorizados.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Fácil Común Media Severo

¿Cómo prevenir?

Es importante utilizar una comunicación segura con two-way SSL y estándares de autenticación (como OAuth). Vea más: Authentication Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Habilitar comunicación two-way SSL y autenticación OAuth 2.0.

 

A3 – Exposición de Datos Sensibles

Datos sensibles podrían quedar expuestos si estuvieran grabados y no criptografados, o con claves débiles en su generación y gestión, o algoritmos y técnicas de hashing débiles.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Media Generalizada Media Severo

 

¿Cómo prevenir?

Para prevenir esta vulnerabilidad es posible utilizar la log obfuscation y data obfuscation, criptografía el canal de comunicación y utilizar Two-way SSL.

Es importante no almacenar datos sensibles si no hay necesidad, y criptografiarlos, tanto cuando están en reposo como en tránsito.

Deshabilite siempre el «autocompletar» en formularios y el caché en páginas que contengan datos sensibles. Vea más: Cryptographic Storage Cheat Sheet – OWASP y Transport Layer Protection Cheat Sheet – OWASP.

Como atenuar ese riesgo con API Management

Además de la comunicación con two-way SSL, habilitar Data Obfuscation, Log Obfuscation, Criptografía.

 

A4 – XML External Entities (XXE)

Muchos antiguos procesadores de XML permiten la especificación de una entidad externa, una URI sin referencia y evaluada durante el procesamiento del XML. Esa falla permite la extracción de datos, efectuar requisiciones en el servidor, escanear sistemas internos, realizar DoS attacks, entre otros.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Media Común Fácil Severo

 

¿Cómo prevenir?

Aplique correcciones o actualice los procesadores de XML, bibliotecas y sus dependencias, verifique si el upload de XML o XSL realiza validación, utilice white list input validation, deshabilite el procesamiento de XXE y DTD. Considere usar virtual patching, API security gateway o WAFs. Vea más: XML External Entity (XXE) Prevention Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Habilitar el módulo de API security gateway, creación de white lists y aplicar interceptor para XML threat protection.

 

A5 – Control de Acceso con Falla

Sucede cuando hay referencias internas para objetos (como un archivo, carpeta o registro) sin control de acceso, que pueden ser manipuladas para accesos indeseados.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Media Comum Media Severo

 

¿Cómo prevenir?

Para amenizar este riesgo, es importante crear referencias indirectas a objetos por usuario o sesión y verificar el acceso de fuentes no confiables en la utilización de referencias directas. API rate limit puede minimizar posibles daños. Vea más: Access Control – OWASP

Como atenuar ese riesgo con API Management

Aplicar autenticación con OAuth 2.0, validación de acceso a los recursos con Plans, Rate Limit.

 

A6 – Configuración Incorrecta de Seguridad

Los usuarios pueden lograr ejecutar acciones indeseadas por falta de una configuración correcta de seguridad.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Fácil Generalizada Fácil Moderado

 

¿Cómo prevenir?

Barrer de manera automática y periódica es de gran utilidad para detectar falta de actualizaciones, errores de configuración, uso de cuentas estandarizadas, etc. Es importante contar con un proceso rápido y eficaz para implementar ambientes debidamente protegidos y mantenerlos actualizados, con una arquitectura que ofrezca una separación segura de los componentes. Vea más: Center for Internet Security CIS: Configuration Guidelines and Benchmarks

Como atenuar ese riesgo con API Management

Creación y separación de Environments, definición de Deploy Permissions, usar OAuth 2.0, creación y revocación de tokens, gestión centralizada y auditoría de eventos.

 

A7 – Cross-Site Scripting (XSS)

En el ataque XSS, se agregan scripts antes que se envíen y ejecuten los datos al browser para secuestrar sesiones, redirigir a sitios maliciosos o desfigurar páginas.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Fácil Generalizada Fácil Moderado

 

¿Cómo prevenir?

Se debe validar que las requisiciones y las respuestas para que no contengan scripts. Vea más: XSS (Cross Site Scripting) Prevention Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Aplicación de interceptor específico de XSS threat protection para verificación de patrones maliciosos.

 

A8 – Deserialización Insegura

Las aplicaciones distribuidas con listeners públicos o aplicaciones que dependen del mantenimiento del estado del cliente, probablemente permitan adulteración de datos serializados.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Difícil Comum Média Severo

 

¿Cómo prevenir?

No aceptar objetos serializados a partir de fuentes no confiables o serialización que solo permita tipos de datos primitivos. Si eso no fuera posible, implementar verificaciones de integridad o criptografía de los objetos serializados para evitar la creación hostil de objetos o adulteración de datos. Se puede aplicar también restricciones de strict type durante la deserialización antes de la creación del objeto. Otro punto es aislar el código que deserializa, así como también aquellos ejecutados en ambientes de privilegios muy bajos o contenedores temporales. Es importante grabar en log las excepciones y fallas de deserialización. Restrinja o monitoree la conectividad recibida y de salida de contenedores o servidores que deserializan y configure alertas para el caso que un usuario deserialice constantemente. Vea más: Deserialization Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Definición white lists para fuentes confiables, crear logs específicos para cada etapa de la operación de las APIs, realice trace de las calls y configure alertas.

 

A9 – Utilización de Componentes con Vulnerabilidades Conocidas

El atacante puede identificar componentes vulnerables por medio de scanning o análisis manual.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Média Generalizada Média Moderado

 

¿Cómo prevenir?

Usar herramientas para inventario de versiones y dependencias de los componentes (server-side y client-side). Monitorear vulnerabilidades en componentes a partir de fuentes públicas como NVD y usar software para análisis automático. También, es importante desactivar los componentes que no serán utilizados, y aplicar actualizaciones y patches de fuentes oficiales para prevenir vulnerabilidades que puedan ser exploradas. Vea más: National Vulnerability Database – NVD

Como atenuar ese riesgo con API Management

Aplicar interceptor de String Match Conditions para validar llamadas a URLs con vulnerabilidades conocidas.

 

A10 – Logging y Monitoreo Insuficientes

Registrar inadecuadamente las fallas, la falta de alertas y de bloqueos, permiten que el atacante siga probando vulnerabilidades hasta conseguir una que sea explorable.

Dificultad del Ataque Prevalência do Risco Detecção do Risco Impactos Técnicos
Média Generalizada Difícil Moderado

 

¿Cómo prevenir?

Usando formatos ya ampliamente utilizados como REST, GraphQL, JSON y la aplicación de los mecanismos de seguridad ya mencionados para garantizar una comunicación segura, un esquema fuerte de autenticación y de control de acceso, además de las protecciones contra todos los tipos de inyecciones. Vea más: Logging Cheat Sheet – OWASP

Como atenuar ese riesgo con API Management

Habilitar calls tracing e interceptor de Logging que pueden ser aplicados en las etapas de procesamiento de las APIs, configuración de alertas y dashboards personalizados.

 

Sensedia API Platform – Seguridad para sus APIs y Backend

La solución de Full Life Cycle API Management de Sensedia fue clasificada como Visionaria por Gartner y como Strong Performer por Forrester y ofrece una serie de mecanismos para protección y análisis de sus APIs y de su backend, ofreciendo herramientas para la optimización de recursos y para el compromiso de los desarrolladores , además de consultoría para la construcción segura de estrategias digitales y de arquitecturas basadas en microservicios.

OWASP Top 10 Riscos de Segurança API Management Platform Sensedia¿Desea saber más sobre cómo proteger sus APIs y su backend? Déjenos su mensaje y hable con nuestros expertos:

API

Nicholas Gimenes

Growth Hacker | Product Marketing | Account-based Marketing (ABM) LatAm + Iberia https://linkedin.com/in/nicholasgimenes

More posts by Nicholas Gimenes

Related Post

  • Time Sensedia em Paris no APIDays

    3 Temas destacados en el APIdays Paris 2018

    By Rafael Rocha | 0 comment

    Quiero compartir aquí con ustedes algunos highlights y trendtopics que percibimos en el mayor evento de APIs del mundo, APIdays – por ahora, ¡porque nuestro APIX está arrasando! El evento ocurrió en Paris, entre el 11 y el 12/Diciembre, y Sensedia estuvoRead more

  • Modelo de Madurez para la Arquitectura de APIs

    By Rafael Rocha | 0 comment

    link para artículo original: https://www.linkedin.com/pulse/api-architecture-maturity-model-rafael-rocha/ ¿Su empresa está lista para la Economía de las APIs? Esta es la reflexión que los arquitectos y estrategas digitales deben hacer, en el caso que deseen que su empresa participeRead more

  • ¿Su empresa consume APIs? Reduzca costos y gane agilidad con Monitoreo y Caching

    By Nicholas Gimenes | 0 comment

    Muchos servicios externos se consumen a través de APIs por diferentes departamentos (Marketing, Financiero, I & D, Distribución, …) y muchas veces este consumo no es monitoreado o optimizado, lo que lleva a gastos innecesariosRead more

  • Casos de Uso de APIs para Bancos, Fintechs y Financieras

    By Nicholas Gimenes | 0 comment

    Si usted llegó aquí ya debe saber que las APIs son las impulsoras de la nueva transformación digital en el sector financiero. La competencia no es sólo entre empresas con activos y sistemas propios, sinoRead more

  • 6 errores que pueden estar en la Estrategia de APIs de su Ecommerce

    By Nicholas Gimenes | 0 comment

      La expansión de los marketplaces por medio de las APIs creó un nicho de competitividad muy fuerte en los negocios digitales. Su estructura permite reducir costos y generar nuevas posibilidades de canales con agilidad,Read more

Leave a Comment

Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Categorías

  • Analytics
  • APIs
  • Eventos
  • Negocios Digitales
  • Publicaciones Externas
  • Sin categorizar

Etiquetas

API API Economy API Gateway API Management APIs Architecture Arquitectura design de APIs DevOps Ecosistema de Socios ESB estrategias digitales Estratégia Digital estratégias digitals Event-driven Eventos Exposición de APIs Gestión de APIs graphql gRPC Iinnovación Innovacion Abierta Innovación Insurtech Integraciones Integración MicroServices Microservicios Modelo de Negocio Monetización Negocios Digitales Notificacion omnicanalidad Open APIs open banking open insurance Plataforma REST RESTful seguridad Seguridad de APIs Service Mesh SOA Transformación Digital Transformación Digitale

Entradas recientes

  • Black Friday Post – La experiencia de Via Varejo
  • Intégrese con VR Beneficios de forma ágil, simple y segura
  • La importancia de una buena atención de soporte
  • Optimizando Arquitectura Event Driven en Java (desde el bajo nivel)
  • La importancia del uso de métricas en APIs
  • Política de Privacidad
Copyright © 2020 Sensedia | All Rights Reserved
  • API Products
    • API Platform
    • API Governance
    • Event-Driven Architecture
    • PCI
    • Flexible Actions
  • API Services
    • Sensedia Professional Services
  • Solutions
    • APIs para Aseguradoras​
    • Open Banking
    • Retail & E-commerce
  • Blog
  • Contacto
    • Contacto
    • Clientes
  • Carrera
  • Español
    • Portugués, Brasil
    • Inglés
Sensedia