Header Ads Widget

Ticker

6/recent/ticker-posts

API de la Guerra Mundial: Entender al enemigo

 

api-guerra-mundial-entendiendo-al-enemigo-nordic-apis

El escenario del mundo virtual está en constante evolución y, desafortunadamente, los conflictos físicos de ayer se están convirtiendo rápidamente en los conflictos digitales de hoy. Los estados, grupos e individuos están preparados para librar una guerra digital por una variedad de razones políticas, económicas y sociales. Y, como con cualquier conflicto, los datos civiles - y la arquitectura civil - tienden a ser no solo las víctimas de la guerra, sino también las armas involuntarias.

Hoy, vamos a discutir los actores principales de la API de la Guerra Mundial, sus motivos y cómo la seguridad de la API debe adaptarse para enfrentar sus amenazas. También analizaremos la seguridad desde la perspectiva del desarrollador de API como respuesta a las amenazas externas y cómo las amenazas deben administrarse internamente.

Lea la primera parte : API de la guerra mundial: ciberataques a escala internacional

Comprensión del conflicto: un breve resumen

conflicto-internacional-ciber-terrorismo

Como discutimos anteriormente en Cyberattacks on the International Scale , el mundo está cambiando rápidamente y, como parte de este cambio, gran parte del conflicto que alguna vez tomó forma física, como el espionaje industrial y los ataques terroristas de lobo solitario, se está moviendo hacia lo digital. reino.

Las peleas más grandes aún no se han librado, y aun así, podemos ver las ondas de lo que vendrá hoy. El ataque masivo de fotografías de Sony que le costó a la empresa 35 millones de dólares fue atribuido por el FBI a Corea del Norte. Al otro lado del pasillo, el grupo hacktivista Anonymous filtró 2.434.899 correos electrónicos de 680 dominios sirios, incluido el dominio privado del presidente sirio Bashar Assad.

Estos son ejemplos importantes, pero no crea que se trata de un fenómeno reciente. En 1999, durante el conflicto de Kosovo, Estados Unidos bombardeó una embajada en Belgrado por proporcionar servicios de comunicación al enemigo. En respuesta, los piratas informáticos chinos bombardearon los servicios de Estados Unidos y la OTAN, diciendo "¡No nos detendremos hasta que termine la guerra!" en sitios web y portales de defensa. En 2007, Estonia afirmó que los ataques de piratas informáticos rusos “abrumaron las redes informáticas de la nación báltica, colapsaron el correo electrónico de su parlamento, interrumpieron las líneas telefónicas de emergencia y congelaron los servicios en línea de oficinas gubernamentales, bancos, universidades y hospitales”.

La guerra cibernética no es solo una amenaza emergente, es histórica y actual. El hecho es que comprender a los actores de los conflictos venideros es el primer paso para prevenir los estragos que causarán.

El atacante del lobo solitario

comprensión-del-enemigo-hacker-lone-wolf-api

Posiblemente, el ataque más común al que se enfrentarán los desarrolladores de API es el del atacante individual . Esta similitud se puede atribuir al hecho de que un atacante individual es más difícil de detectar que un ataque grupal y, por lo tanto, es el movimiento de "primer ataque" más probable que hará un grupo. Estos ataques se refieren principalmente a daños económicos y disruptivos y, por lo general, se dirigen a recursos específicos.

Afortunadamente, aunque es probable que estos ataques sean los más comunes, también son los más fáciles de tratar. Los pequeños ataques suelen requerir soluciones que sean fáciles de implementar. Los atacantes individuales utilizarán técnicas como la inyección de código y la suplantación de identidad , por lo que es fundamental preparar una API para este tipo de problemas.

Los desarrolladores de API deben tener en cuenta que lidiar con este tipo de atacantes implica hacer de la API un objetivo no atractivo; los ataques individuales son en gran medida oportunidades y, por lo tanto, eliminar estas oportunidades contribuirá en gran medida a asegurar la API.

Los desarrolladores deben auditar a fondo y auditar con frecuencia. Si bien la auditoría interna es eficaz, también existen muchas soluciones de terceros. Las soluciones de seguridad todo en uno como Akana API Security vinculan el desarrollo y la auditoría a una puerta de enlace web de front-end. Otras soluciones, como Axway , unifican múltiples servicios en un conjunto de soluciones.

Sin embargo, el aspecto más dañino de un ataque individual no es la reducción de la funcionalidad, sino la exposición de los recursos. Los atacantes individuales rara vez atacan con el propósito de interrumpir los servicios globales y, en cambio, atacan para acciones económicas y sociales específicas.

El resultado es que los recursos internos deben tener métodos de protección más específicos y poderosos. El cifrado interno, las tarjetas U2F FIDO y CAC, e incluso la seguridad biométrica para los recursos locales y la funcionalidad de solo desarrollo pueden anular cualquier daño de un ataque individual, incluso si el atacante logra abordar soluciones de seguridad externas.

Recuerde que su API es vulnerable si no se abordan estos 4 riesgos

Ataques grupales DDOS

comprensión-del-enemigo-hacker-ataque-DDOS

Si bien los ataques grupales son significativamente menos comunes que los individuales, posiblemente sean los más peligrosos. Cada individuo es esencialmente un multiplicador de fuerza , lo que aumenta drásticamente tanto la complejidad del ataque como el daño potencial que puede causar.

El tipo más común de ataque de esta variedad es el Distributed Denial of Service , o DDOS. Los ataques DDOS intentan abrumar la memoria y la capacidad de la propia API, inundándola con conexiones simultáneas, cada una de las cuales envía o solicita cantidades gigantescas de información.

Si bien gran parte de este tráfico se puede redirigir, la gran cantidad de datos que se manejan es un problema importante. La limitación de velocidad es una buena solución, pero solo puede llegar hasta cierto punto.

Una de las mejores formas de manejar los ataques grupales es vincular las cuentas de los usuarios al comportamiento. Las claves de API no son una forma adecuada de seguridad en sí mismas , pero cuando se administran y distribuyen correctamente, pueden proporcionar una capa de seguridad y ayudar a rastrear el comportamiento. Cuando este seguimiento del comportamiento se combina con soluciones de limitación de velocidad , el mal comportamiento se puede detectar y cortar automáticamente.

Además, los desarrolladores de API deben comprender que la cantidad de control otorgada a un consumidor de API se relaciona directamente con el daño potencial que pueden causar . Los usuarios de una API son su elemento vital, pero una sola célula puede infectar a toda la línea de sangre si se le permite demasiada libertad. Restrinja el poder que tiene el consumidor y restringe el daño potencial de un actor deshonesto.

Al limitar tanto la velocidad como la potencia de estas llamadas, los ataques grupales se pueden negar en gran medida. Los ataques grupales deben tratarse como una inundación: cuando se trata de una inundación, la solución no es detener el agua en seco, sino reducir gradualmente su impacto. Se utilizan diques, muros y canales de drenaje para desviar la inundación y cortarla en canales manejables. De la misma manera, los desarrolladores de API pueden desviar ataques, descargar tráfico de un servidor de API a otro, redirigir ataques maliciosos y tomar medidas para limitar la creación de la inundación en primer lugar.

La mejor manera de prevenir este tipo de atacante es diseñar la API y su funcionalidad frontal de tal manera que disminuya la cantidad de posibles conexiones simultáneas. El uso de API Gateways como arquitectura limitante puede ayudar a disminuir la cantidad de conexiones automatizadas al solicitar autenticación cuando los usuarios realizan una llamada.

Descargue nuestro libro electrónico gratuito sobre seguridad de API para obtener orientación sobre cómo defender su API
Publicación de blog de libro electrónico de seguridad CTA 2

Motivaciones para un ataque: económico versus impacto

Si bien las razones de estos ataques digitales son tan amplias como prolíficas, se pueden clasificar en dos campos: económico y de impacto.

Los ataques económicos son aquellos ataques que tienen como objetivo los recursos por su impacto económico, ya sea contra la empresa o en beneficio del atacante. En consecuencia, este tipo de ataques suelen tener como objetivo el uso de recursos, no la eliminación de recursos. Durante el curso de la auditoría, estos recursos deben identificarse y aislarse.

Los proveedores pueden identificar recursos con grandes impactos económicos analizando el tráfico web para los recursos a los que se accede con mayor frecuencia; las rutas más comunes tomadas por los consumidores reales serán los principales objetivos de los piratas informáticos que buscan interrumpir la funcionalidad principal. Además, las áreas con poca seguridad o ciertas llamadas que interactúan directamente con el backend serán los principales objetivos del pirata informático eficaz.

Por el contrario, los ataques de impacto siguen una estrategia diferente. Los ataques de impacto se centran en desconectar los recursos y evitar el uso adecuado del software. Los desarrolladores de API deben implementar soluciones que se centren más en limitar la tasa de solicitudes y vincular estas solicitudes al análisis de comportamiento a largo plazo para identificar el escaneo de vulnerabilidades y posibles atacantes.

En el mundo real, es probable que un proveedor de API enfrente ambos tipos de ataques en algún momento. Planear ambos e implementar soluciones que resuelvan problemas cruzados (como vulnerabilidades del servidor frontal y soporte de cifrado deficiente) puede reforzar una API contra problemas desconocidos al hacer de la API un objetivo poco atractivo.

La psicología del ciberterrorismo

Es muy fácil caer en la trampa de convertir en fantasmas a los piratas informáticos y los ciberterroristas. Los medios de comunicación retratan rutinariamente a los piratas informáticos como una figura oscura encapuchada en un sótano en algún lugar, crujiendo los dedos y escribiendo maniáticamente, cuando en realidad, esta caricatura tan común hace muy poco para ayudar a definir el motivo . Estas son personas reales. Y como personas, tienen una amplia gama de razonamientos, miedos y tolerancias. Comprender los tres ayudará a lidiar mejor con estas amenazas.

hacker-psicología-ciber-terrorismo

En primer lugar, es fundamental comprender el razonamiento detrás de los ataques. Los ataques cibernéticos siempre ocurren por una razón, y comprender qué valor proporciona una API o un objetivo de recursos a un atacante potencial puede ser de gran ayuda para informar qué recursos se necesitan para reforzar las defensas.

Veamos un ejemplo. Un desarrollador de API está auditando su seguridad y sabe que sus recursos han sido atacados previamente, aunque el ataque fue tan amplio que no se pudo determinar el objetivo real. La API maneja flujos de datos encriptados de instituciones financieras, funcionando en gran medida como un proveedor de autorización de punto de venta.

El objetivo en este ejemplo es claro: ganancia financiera e interrupción de servicios. Pero, ¿qué es la psicología? Al auditar, se encuentra que los datos no fueron bloqueados o terminados, sino que fueron redirigidos después del descifrado. Esto argumentaría que la psicología es una ganancia financiera y no una interrupción; después de todo, si el objetivo fuera la interrupción, esperaríamos ver los servicios detenidos o bloqueados, y no solo interceptados.

Esto, unido al hecho de que todas las transacciones, y no solo las que se originan en fuentes específicas, sugiere que la acción no tiene una orientación política. Por lo tanto, como enfoque de seguridad, se deben reforzar todos los recursos relacionados con el almacenamiento de datos posteriores al descifrado, sin prestar especial atención a fuentes específicas.

Reflexiones finales: comprenda la motivación detrás del terrorismo cibernético

Nuestro diálogo no se trata de amenazas hipotéticas, sino de una conversación sobre un conflicto del mundo real que está aumentando tanto en alcance como en intensidad. Solo en 2014, la mitad de todos los adultos estadounidenses informaron haber sido pirateados .

A medida que este conflicto crece, los proveedores de API se encontrarán cada vez más en el fuego cruzado. Afortunadamente, al comprender tanto al enemigo como a la naturaleza del conflicto , los efectos de este conflicto en el espacio de la API y el Internet de las cosas se pueden negar, o al menos reducir. Obtener la motivación detrás del terrorismo cibernético puede ayudar a los proveedores a mejorar la seguridad en sus API al saber qué recursos proteger y qué rutas tienen más probabilidades de ser explotadas.

Actuar ahora evitará a los desarrolladores de API un dolor de cabeza de proporciones monumentales en el futuro. Esperamos que haya disfrutado de esta serie, pero sepa que esto es solo una pequeña parte de la amenaza actual y omnipresente para la industria tecnológica. Si disfrutó de esta serie, síganos para obtener más información mientras realizamos un seguimiento de la seguridad en el espacio API, las tendencias de la industria y el dominio emergente de los idiomas y los medios.

Publicar un comentario

0 Comentarios