Seguridad de APIs y de Apps
Datos críticos en la nube, acceso móvil desde todas partes, IoT, Open Banking, plataformas digitales habilitadas por APIs ̶ ¿y la seguridad?, ¿cómo es?
Las APIs son la base para la transformación digital. La expansión de las aplicaciones web y de los ecosistemas digitales impulsados por las web APIs aumentaron las preocupaciones por la seguridad debido a tanta exposición. En el estudio realizado por Sensedia en colaboración con IDC, la seguridad fue el tema considerado de mayor importancia en las estrategias de APIs (85% de las empresas grandes y medianas).
OWASP (Open Web Application Security Project), con el fin de canalizar los esfuerzos en la seguridad de aplicaciones y APIs, llevó adelante un relevamiento global y colaborativo con los 10 riesgos de seguridad más críticos de la web, conocido como OWASP TOP 10.
El ranking se basa en datos recogidos y en consultas a la comunidad, clasificando los riesgos de acuerdo con OWASP Risk Rating Methodology y atribuyendo una graduación de 3 niveles para los siguientes criterios: Dificultad del Ataque (Exploitability), Prevalencia del Riesgo, Detección del Riesgo (Detectability) e Impactos Técnicos.
| Agentes de Amenaza | Dificultad del Ataque | Prevalencia del Riesgo | Detección del Riesgo | Impactos Técnicos | Impactos en la Actividad |
|---|---|---|---|---|---|
| Específico de la Aplicación | Fácil | Generalizada | Fácil | Severo | Específico de la Actividad/Aplicación |
| Media | Común | Media | Moderado | ||
| Difícil | Rara | Difícil | Pequeño |
En el texto preliminar (RC1), el ítem «APIs desprotegidas» fue sugerido para integrar el ranking de 2017, aunque fue retirado debido a que las Web APIs son susceptibles a varios de los riesgos mencionados, no teniendo mucho sentido crear una categoría aparte. No obstante, en el texto nuevo, se hicieron nuevas menciones a APIs y a API Security Gateway.
Las modificaciones en los ítems del ranking fueron las siguientes:
- Tópicos retirados, pero no olvidados
- 2013-A8 Cross-site Request Forgery (CSRF)
- 2013-A10 Unvalidated Redirects and Forwards
- Tópicos agregados
- 2017-A4 XML External Entity (XXE)
- 2017-A8 Insecure Deserialization
- 2017-A10 Insufficient Logging & Monitoring
Clasificación de los riesgos: puede haber variaciones según las características de cada organización
De acuerdo a lo mencionado en la RC1, detectar vulnerabilidades en APIs puede resultar más difícil que en las aplicaciones, debido a la falta de una interfaz (UI) para pruebas y del uso de estructuras más complejas de datos. Por otra parte, muchas veces las APIs tienen comunicación directa con sistemas críticos y, cuando tienen brechas, pueden facilitar el acceso y manipulación no autorizada de datos sensibles, incluso llegando al secuestro total del sistema.
La utilización de una plataforma completa de API Management actúa también como capa de protección para el backend, con recursos para la detección de fallas y de apoyo al diseño adecuado de las APIs, además de viabilizar la separación de ambientes e implementar otros mecanismos para seguridad, control y análisis.
A10 OWASP 2017 RC1 – item incluyo en la versión parcial, pero removido de la versión final
Ranking 2017 OWASP Top 10 Riesgos de Seguridad en la Web
A continuación, se describen los 10 riesgos del nuevo ranking de la OWASP 2017 y las principales formas para atenuarlos:
A1 – Inyección
Las fallas causadas por inyección (como inyección de SQL) se producen cuando datos maliciosos son enviados a un interpretador, que pueden ser interpretados como comandos o consultas que pueden habilitar acciones indeseadas.
| Dificultad del Ataque | Prevalencia del Riesgo | Detección del Riesgo | Impactos Técnicos |
|---|---|---|---|
| Fácil | Común | Fácil | Severo |
¿Cómo prevenir?
Para prevenir este tipo de ataque es necesario validar si los datos traficados por las APIs contienen comandos recursivos en SQL, JSON, XML, entre otros, y evitar por completo el uso del interpretador, proporcionando una interfaz parametrizada. Vea más: Injection Prevention Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Se puede aplicar Interceptors de SQL threat protection, JSON threat protection, XML threat protection.
A2 – Quiebre de Autenticación
Los usuarios se pueden apoderar o comprometer la autenticación por claves, contraseñas, cookies y obtener accesos no autorizados.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Fácil | Común | Media | Severo |
¿Cómo prevenir?
Es importante utilizar una comunicación segura con two-way SSL y estándares de autenticación (como OAuth). Vea más: Authentication Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Habilitar comunicación two-way SSL y autenticación OAuth 2.0.
A3 – Exposición de Datos Sensibles
Datos sensibles podrían quedar expuestos si estuvieran grabados y no criptografados, o con claves débiles en su generación y gestión, o algoritmos y técnicas de hashing débiles.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Media | Generalizada | Media | Severo |
¿Cómo prevenir?
Para prevenir esta vulnerabilidad es posible utilizar la log obfuscation y data obfuscation, criptografía el canal de comunicación y utilizar Two-way SSL.
Es importante no almacenar datos sensibles si no hay necesidad, y criptografiarlos, tanto cuando están en reposo como en tránsito.
Deshabilite siempre el «autocompletar» en formularios y el caché en páginas que contengan datos sensibles. Vea más: Cryptographic Storage Cheat Sheet – OWASP y Transport Layer Protection Cheat Sheet – OWASP.
Como atenuar ese riesgo con API Management
Además de la comunicación con two-way SSL, habilitar Data Obfuscation, Log Obfuscation, Criptografía.
A4 – XML External Entities (XXE)
Muchos antiguos procesadores de XML permiten la especificación de una entidad externa, una URI sin referencia y evaluada durante el procesamiento del XML. Esa falla permite la extracción de datos, efectuar requisiciones en el servidor, escanear sistemas internos, realizar DoS attacks, entre otros.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Media | Común | Fácil | Severo |
¿Cómo prevenir?
Aplique correcciones o actualice los procesadores de XML, bibliotecas y sus dependencias, verifique si el upload de XML o XSL realiza validación, utilice white list input validation, deshabilite el procesamiento de XXE y DTD. Considere usar virtual patching, API security gateway o WAFs. Vea más: XML External Entity (XXE) Prevention Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Habilitar el módulo de API security gateway, creación de white lists y aplicar interceptor para XML threat protection.
A5 – Control de Acceso con Falla
Sucede cuando hay referencias internas para objetos (como un archivo, carpeta o registro) sin control de acceso, que pueden ser manipuladas para accesos indeseados.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Media | Comum | Media | Severo |
¿Cómo prevenir?
Para amenizar este riesgo, es importante crear referencias indirectas a objetos por usuario o sesión y verificar el acceso de fuentes no confiables en la utilización de referencias directas. API rate limit puede minimizar posibles daños. Vea más: Access Control – OWASP
Como atenuar ese riesgo con API Management
Aplicar autenticación con OAuth 2.0, validación de acceso a los recursos con Plans, Rate Limit.
A6 – Configuración Incorrecta de Seguridad
Los usuarios pueden lograr ejecutar acciones indeseadas por falta de una configuración correcta de seguridad.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Fácil | Generalizada | Fácil | Moderado |
¿Cómo prevenir?
Barrer de manera automática y periódica es de gran utilidad para detectar falta de actualizaciones, errores de configuración, uso de cuentas estandarizadas, etc. Es importante contar con un proceso rápido y eficaz para implementar ambientes debidamente protegidos y mantenerlos actualizados, con una arquitectura que ofrezca una separación segura de los componentes. Vea más: Center for Internet Security CIS: Configuration Guidelines and Benchmarks
Como atenuar ese riesgo con API Management
Creación y separación de Environments, definición de Deploy Permissions, usar OAuth 2.0, creación y revocación de tokens, gestión centralizada y auditoría de eventos.
A7 – Cross-Site Scripting (XSS)
En el ataque XSS, se agregan scripts antes que se envíen y ejecuten los datos al browser para secuestrar sesiones, redirigir a sitios maliciosos o desfigurar páginas.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Fácil | Generalizada | Fácil | Moderado |
¿Cómo prevenir?
Se debe validar que las requisiciones y las respuestas para que no contengan scripts. Vea más: XSS (Cross Site Scripting) Prevention Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Aplicación de interceptor específico de XSS threat protection para verificación de patrones maliciosos.
A8 – Deserialización Insegura
Las aplicaciones distribuidas con listeners públicos o aplicaciones que dependen del mantenimiento del estado del cliente, probablemente permitan adulteración de datos serializados.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Difícil | Comum | Média | Severo |
¿Cómo prevenir?
No aceptar objetos serializados a partir de fuentes no confiables o serialización que solo permita tipos de datos primitivos. Si eso no fuera posible, implementar verificaciones de integridad o criptografía de los objetos serializados para evitar la creación hostil de objetos o adulteración de datos. Se puede aplicar también restricciones de strict type durante la deserialización antes de la creación del objeto. Otro punto es aislar el código que deserializa, así como también aquellos ejecutados en ambientes de privilegios muy bajos o contenedores temporales. Es importante grabar en log las excepciones y fallas de deserialización. Restrinja o monitoree la conectividad recibida y de salida de contenedores o servidores que deserializan y configure alertas para el caso que un usuario deserialice constantemente. Vea más: Deserialization Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Definición white lists para fuentes confiables, crear logs específicos para cada etapa de la operación de las APIs, realice trace de las calls y configure alertas.
A9 – Utilización de Componentes con Vulnerabilidades Conocidas
El atacante puede identificar componentes vulnerables por medio de scanning o análisis manual.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Média | Generalizada | Média | Moderado |
¿Cómo prevenir?
Usar herramientas para inventario de versiones y dependencias de los componentes (server-side y client-side). Monitorear vulnerabilidades en componentes a partir de fuentes públicas como NVD y usar software para análisis automático. También, es importante desactivar los componentes que no serán utilizados, y aplicar actualizaciones y patches de fuentes oficiales para prevenir vulnerabilidades que puedan ser exploradas. Vea más: National Vulnerability Database – NVD
Como atenuar ese riesgo con API Management
Aplicar interceptor de String Match Conditions para validar llamadas a URLs con vulnerabilidades conocidas.
A10 – Logging y Monitoreo Insuficientes
Registrar inadecuadamente las fallas, la falta de alertas y de bloqueos, permiten que el atacante siga probando vulnerabilidades hasta conseguir una que sea explorable.
| Dificultad del Ataque | Prevalência do Risco | Detecção do Risco | Impactos Técnicos |
|---|---|---|---|
| Média | Generalizada | Difícil | Moderado |
¿Cómo prevenir?
Usando formatos ya ampliamente utilizados como REST, GraphQL, JSON y la aplicación de los mecanismos de seguridad ya mencionados para garantizar una comunicación segura, un esquema fuerte de autenticación y de control de acceso, además de las protecciones contra todos los tipos de inyecciones. Vea más: Logging Cheat Sheet – OWASP
Como atenuar ese riesgo con API Management
Habilitar calls tracing e interceptor de Logging que pueden ser aplicados en las etapas de procesamiento de las APIs, configuración de alertas y dashboards personalizados.
Sensedia API Platform – Seguridad para sus APIs y Backend
La solución de Full Life Cycle API Management de Sensedia fue clasificada como Visionaria por Gartner y como Strong Performer por Forrester y ofrece una serie de mecanismos para protección y análisis de sus APIs y de su backend, ofreciendo herramientas para la optimización de recursos y para el compromiso de los desarrolladores , además de consultoría para la construcción segura de estrategias digitales y de arquitecturas basadas en microservicios.
¿Desea saber más sobre cómo proteger sus APIs y su backend? Déjenos su mensaje y hable con nuestros expertos:
Leave a Comment