Header Ads Widget

Ticker

6/recent/ticker-posts

Espere lo inesperado: el auge de los ataques funcionales

 

Cuando los barcos encuentran mal tiempo y turbulencias, navegan uno al lado del otro porque tienen más posibilidades de resistir la tormenta una vez que están atados. Juntos, es menos probable que vuelquen. Las personas y las empresas no son tan diferentes. Estamos dispuestos a abrirnos a nuevas colaboraciones cuando lleguen las dificultades (juego de palabras).

Con la velocidad del cambio que se acelera a nuestro alrededor, necesitamos formas nuevas y mejoradas de colaborar. Por lo tanto, es comprensible por qué la adopción de API es tan fuerte en muchas industrias. Los casos de uso difieren, pero todos conducen a un mayor intercambio de información, trabajo colaborativo y un cambio hacia ecosistemas abiertos. Como muestra una encuesta reciente realizada por Imvision , 4 de cada 5 organizaciones ya permiten que los socios (B2B) o los usuarios (B2C) accedan a sus datos con API externas.

Fuente: Encuesta de seguridad de API empresariales de Imvision

Pero este creciente intercambio de información no está exento de riesgos. Tener más API publicadas y consumidas también significa que se exponen más funcionalidades. Ahora se puede acceder, y potencialmente manipular, directamente a la lógica empresarial que alguna vez estuvo oculta dentro de una aplicación. No es solo la superficie de ataque lo que crece, sino también la creciente complejidad de las relaciones entre las funciones y los objetos de datos lo que crea nuevas vulnerabilidades.

Tome un incidente de Domino's Pizza para darse cuenta de las vulnerabilidades creadas por las relaciones entre las funciones. En este caso, el atacante pudo omitir la aplicación e ir directamente a la API, iniciando un proceso de pago falso y activando manualmente la función de confirmación del pedido.

La falta de validación en el lado del servidor (la confirmación del pedido llega solo después del pago exitoso) hizo posible este fraude. Gracias al proceso de aprobación de pago expuesto, los "clientes" conocedores de la tecnología pudieron manipular el sistema para que aceptara pagos no válidos, proporcionándoles pizza gratis.

Nueva tecnología, nuevas vulnerabilidades

Los atacantes que buscan grietas en las API pueden emplear un nuevo estilo de ataque, uno que las herramientas tradicionales de seguridad de aplicaciones no pueden detectar: ​​ataques funcionales. Comprender qué son estos nuevos ataques funcionales es fundamental para los profesionales de la seguridad que buscan proteger los datos, los activos y los clientes de su organización.

Las API son considerablemente más vulnerables a los ataques funcionales que tienen como objetivo el flujo de llamadas de API esperado. Parecen solicitudes normales para todos los efectos y, con frecuencia, no están designadas como tales por las medidas de protección estándar. Desafortunadamente, esto también significa que las soluciones de seguridad de aplicaciones de propósito general, como Web Application Firewall (WAF), no son suficientes para la seguridad absoluta de la API.

Si bien las medidas de seguridad como los WAF sobresalen en la detección y el bloqueo de llamadas API maliciosas que coinciden con vulnerabilidades genéricas conocidas, no detectan ataques funcionales. Esto se debe principalmente a que, en la superficie, los ataques funcionales son simplemente llamadas realizadas por usuarios auténticos. Solo cuando se analiza el comportamiento de la aplicación comienzan a surgir sospechas.

El panorama de ataques API

Una mirada más cercana al panorama de ataques de API permite una mejor comprensión de los riesgos que plantean las API. Podemos dividirlos en cuatro categorías distintas:

  • OWASP Top 10 API : API Security tiene una lista dedicada de OWASP top 10 , que proporciona un desglose detallado y bien investigado de las vulnerabilidades comunes que se han explotado para abusar de las API. Muchas de las vulnerabilidades son más técnicas y similares a las de las aplicaciones, mientras que otras están orientadas a explotar funcionalidades mal diseñadas, como fallas de autenticación y autorización.
  • Ataques funcionales : se dirige a la lógica empresarial patentada que gobierna la funcionalidad de la API, lo que hace que las API realicen acciones que se supone que no deben realizar.
  • Comportamiento del usuario : varias subcategorías, incluida la extracción de datos, la ejecución de acciones raras, la falta de ejecución de acciones comunes y otros casos que indican que el usuario está actuando de manera maliciosa.
  • Reconocimiento : este no es un vector de ataque en sí mismo, pero los piratas informáticos dejan las migas de pan mientras aprenden cómo funciona una API y se pueden identificar las vulnerabilidades, de modo que el ataque se puede detener antes de que suceda.

El Servicio Postal de EE. UU. Sufrió un ataque funcional que mostró abuso de uso con fines de raspado de datos. En este caso, los atacantes se dieron cuenta de que podían abusar de una transacción API específica cambiando ligeramente los parámetros de la llamada con cada solicitud.

Esto hizo que fuera extremadamente fácil para los piratas informáticos automatizar y distribuir el ataque a través de diferentes credenciales y así acceder a los datos que estaban tratando de recuperar. Lo lograron sin ser detectados, ya que las llamadas parecían normales; las solicitudes de alto volumen y alta frecuencia no parecían un comportamiento anormal para la popular aplicación de The Postal Service.

Conclusión

El movimiento hacia Open Everything aceleró la creación de ecosistemas abiertos y el despliegue de iniciativas digitales transformadoras. Las API juegan un papel importante en esta transformación.

Si bien las API tienen beneficios increíbles, también conllevan riesgos importantes. Cada API representa una función particular. Eso significa que una sola API puede comunicarse con otra API, y cada API es en realidad un punto de acceso único al funcionamiento interno de una aplicación.

Los ataques de API se están convirtiendo rápidamente en un vector de ataque común. Los piratas informáticos ansiosos por causar estragos crean ataques funcionales que manipulan la lógica empresarial de la API para obtener acceso a los datos privados y confidenciales de otros. Además, faltan medidas de seguridad personalizadas desarrolladas para proteger las API. Los ataques funcionales que tienen como objetivo la lógica empresarial de la API a menudo pasan desapercibidos, ya que aparecen como llamadas API estándar.

Es imperativo tener una solución de seguridad que aprenda la lógica empresarial única de cada API y detecte el comportamiento anómalo en torno a los ataques funcionales. La capacidad de descubrir, probar y proteger automáticamente sus API se ha vuelto más importante que nunca.

Publicar un comentario

0 Comentarios