La API es la piedra angular de la conexión de aplicaciones modernas. Cada vez más empresas son conscientes de la importancia de la API, y el número de ellas está marcando el comienzo de un crecimiento explosivo. Sin embargo, las amenazas de seguridad que enfrenta la API son más rápidas que el crecimiento de las llamadas a la API. Según un informe publicado por Salt Security en febrero de este año, el 91 % de las empresas tendrán problemas de seguridad relacionados con las API en 2022, y el 80 % de las organizaciones cree que sus herramientas de seguridad no pueden prevenir eficazmente los ataques a las API.
Para enfatizar la importancia de la seguridad de API, OWASP propuso por primera vez API Security Top 10 en 2019 y lanzó la actualización de contenido de API Security Top 10 en 2023. Esta actualización agrega específicamente el contenido "La API carece de protección contra amenazas automáticas", lo que demuestra que, en aplicaciones prácticas, muchas API empresariales carecen de medidas de protección contra ataques automáticos.
Sequence Security también señaló en el último Informe de seguridad de API de 2022 que la API se ha convertido en el principal vector de ataque y que los ataques automatizados son la principal amenaza para la seguridad de la API.
De hecho, con el desarrollo de tecnologías como la inteligencia artificial y el aprendizaje automático, los métodos de ataque automatizados de Bot se están volviendo cada vez más comunes y complejos. Los ataques automatizados de bots pueden escanear de forma rápida y precisa las vulnerabilidades de la API o lanzar ataques a las API, lo que genera amenazas graves para el sistema.
Entonces, ¿qué es exactamente un ataque de bot automatizado contra una API? ¿Cómo sucedió este ataque y por qué se está volviendo más común?
¿Qué son los ataques de automatización de bots contra las API?
El llamado Bot es la abreviatura de Robot (robot), que generalmente se refiere a un robot virtual invisible, y también puede considerarse como un software inteligente que completa automáticamente una determinada tarea. Puede llevar a cabo el acceso automatizado de programas a sitios web, aplicaciones de aplicaciones e interfaces API en Internet a través de operaciones manuales no manuales, como secuencias de comandos de herramientas, programas rastreadores o simuladores.
Ataque de bot (Bot Attack) se refiere al ataque o detección del sistema de la aplicación a través de herramientas o scripts y otros programas. No es solo un comportamiento de ataque de explotación automatizada de vulnerabilidades de aplicaciones, sino también una amenaza de explotación de vulnerabilidades de lógica empresarial. Comportamientos, incluso Comportamientos de amenazas automatizados que simulan operaciones comerciales legítimas y evaden los métodos de protección de seguridad existentes.
Por lo tanto, los atacantes pueden implementar ataques de automatización de bots a través de llamadas API completamente legítimas y válidas, manipular, engañar o destruir las API para lograr el propósito de obtener permisos del sistema central, robar información confidencial, implantar malware y lanzar ataques DoS.
Los ataques de automatización de bots contra las API ocurren cuando estas automatizaciones de bots se utilizan para atacar específicamente las API, o cuando los atacantes usan bots para aumentar la escala, el impacto y la sofisticación de los ataques de API.
¿Por qué aumentan estos ataques?
La automatización de bots se ha utilizado en ataques cibernéticos durante años, pero ¿por qué recibe tanta atención cuando se utiliza en ataques de API? Esto se debe a que el uso generalizado y la vinculación de las API proporciona una amplia superficie de ataque para los atacantes malintencionados. Una vez que se ataca con éxito una API, se puede obtener una gran cantidad de lógica comercial central de la empresa y datos confidenciales.
Las API son más fáciles de atacar
Los ataques de bots automatizados contra las API son más fáciles y rentables que los ataques de bots automatizados contra las aplicaciones web.
Las API generalmente no están tan bien protegidas como los sitios web y las aplicaciones móviles. Algunos en la industria creen que la seguridad de las API hoy es lo que era la seguridad de las aplicaciones en 2009. Una vez que un atacante ha desensamblado una aplicación web y descubierto cómo se comunica, puede usar los mismos mecanismos de ataque a la infraestructura que una API web.
Al mismo tiempo, los atacantes pueden alquilar herramientas de ataque de bajo costo, como bots y botnets, en cualquier momento, y pueden lanzar ataques de bots automatizados contra las API sin requerir demasiados recursos o conocimientos técnicos profundos.
Las API, por otro lado, son más anónimas. Las solicitudes de API no pasan por la ruta tradicional del navegador o los proxies de aplicaciones nativas. Actúan como conductos directos que pueden acceder a recursos y funciones, lo que convierte a las API en un objetivo lucrativo para los atacantes.
API de sombras, API de zombis
Shadow API es actualmente el problema más destacado en la seguridad de API. Debido al aumento en el uso de API, las empresas a menudo no pueden rastrearlas y administrarlas todas. Por lo tanto, algunas API no se pueden mantener y actualizar de manera oportuna, y se convertirán en vulnerabilidades públicamente. explotado por los atacantes.
Al igual que las API en la sombra, las API zombis también representan un gran riesgo de seguridad para las organizaciones, ya que generalmente se refieren a versiones de API antiguas que rara vez se usan. Dado que las API de los bots rara vez llaman la atención de los equipos de seguridad, también brindan a los delincuentes la oportunidad de explotarlas de manera maliciosa.
Según el último Informe de seguridad de API de 2022 publicado por Cequence Security, las API en la sombra aumentarán un 900 % en 2022, y casi el 70 % (68 %) de las empresas encuestadas han expuesto las API en la sombra, lo que destaca la falta de visibilidad de las API. Solo en la segunda mitad de 2022, habrá aproximadamente 45 000 millones de intentos de buscar API ocultas, un aumento del 900 % con respecto a los 5 000 millones de intentos de la primera mitad de 2022.
Cuando los atacantes usan herramientas de automatización de bots para mapear la arquitectura de TI de una empresa y espiar las API en la sombra y las API zombis, todo el proceso de ataque será más rápido, más fácil y más ágil.
Falla de lógica de negocios API
Los desarrolladores tienden a usar un conjunto común de reglas y dejan la API como una configuración predeterminada independientemente de la lógica comercial, lo que crea fallas en la lógica comercial.
Incluso si la revisión del diseño de seguridad se lleva a cabo con anticipación para evitar defectos en la lógica comercial de la API, a medida que la lógica que llevan las API se vuelve cada vez más compleja, las API inevitablemente tienen errores o defectos lógicos que pueden explotarse, y cada API es diferente y el resultado La lógica de la vulnerabilidad también es única.
Muchas herramientas de análisis se basan en reglas y comportamientos conocidos para identificar los riesgos, un enfoque que dificulta la detección o la detención de los atacantes que aprovechan las fallas únicas de la lógica comercial en cada API. Usando herramientas de automatización de bots, los atacantes pueden explotar estas vulnerabilidades para causar estragos mientras evaden la detección a través de solicitudes de API aparentemente legítimas.
El programa de automatización de bots mejora en gran medida la eficiencia de los ataques
En comparación con el trabajo manual, los programas de automatización de Bot tienen una velocidad inigualable. Los atacantes pueden usar los programas de automatización de bots para enviar una gran cantidad de solicitudes de API a puntos finales sin autenticación, usar fuerza bruta y completar rápidamente las credenciales, y recopilar grandes cantidades de datos en un corto período de tiempo.
Los atacantes también pueden utilizar los ataques de automatización de bots para distraer a los equipos de seguridad. Por ejemplo, un atacante podría usar una botnet para activar miles de alertas de seguridad para engañar a los equipos de seguridad para que realicen un seguimiento.
Los ataques de automatización de bots son más sigilosos
La API está abierta y el atacante puede llamar a la API de la misma manera que un usuario normal. Como resultado, el tráfico del atacante está oculto en el tráfico del usuario normal y su comportamiento de ataque será más oculto y más difícil de encontrar.
De hecho, las herramientas de automatización de bots se utilizan para ataques API porque son sigilosas y pueden evitar la detección por parte de herramientas de seguridad avanzadas. Los atacantes a menudo usan una gran cantidad de herramientas de automatización de bots de bajo costo para simular ser un tráfico de solicitudes normal, eludiendo las políticas de seguridad tradicionales para rastrear datos confidenciales con baja frecuencia y lentamente. Estas automatizaciones de bots pueden tomar decisiones en cualquier momento y en cualquier lugar, según reglas programadas y aprendiendo con el tiempo sin intervención humana.
Las soluciones de seguridad tradicionales fallan
Cuando los bots se utilizan para atacar las API a través de cuentas legítimas, las soluciones de seguridad de puerta de enlace API y WAF tradicionales son cada vez más débiles.
Este tipo de ataque se basa principalmente en el inicio de sesión con identidad legal, el funcionamiento normal simulado y las solicitudes de baja frecuencia de varias fuentes. La seguridad WAF tradicional se basa principalmente en las características del ataque y las reglas de comportamiento para implementar la defensa pasiva. Frente a los ataques de Bot que son casi igual que las operaciones humanas, se ha vuelto gradualmente ineficaz; De manera similar, las puertas de enlace API tradicionales que brindan mecanismos de seguridad como autenticación de identidad, control de autoridad, limitación de velocidad y verificación de contenido de solicitud son casi inútiles cuando se encuentran con tales situaciones.
Al mismo tiempo, los costos de implementación y mantenimiento de las soluciones de seguridad de puerta de enlace de API y WAF tradicionales son demasiado altos. Estas soluciones no están diseñadas específicamente para proteger las API y son incluso menos efectivas para prevenir ataques de automatización de bots en las API.
¿Cómo proteger las API de los ataques de automatización de Bot?
No hay duda de que en 2023, los bots maliciosos y las herramientas avanzadas de amenazas automatizadas de bots se basarán en una alta eficiencia y una gran influencia, y la tendencia de desarrollo de API con protección débil será más evidente.
Ruishu Information cree que los siguientes cuatro métodos pueden proteger eficazmente las API de los ataques de automatización de Bot:
Gestión de activos de API
Introduzca la gestión de activos de API, utilice las herramientas de seguridad de API para analizar el tráfico de acceso, descubra automáticamente las interfaces de API en el tráfico e identifique, clasifique y agrupe automáticamente las interfaces de API. Al mismo tiempo, los datos de registro de la API se obtienen de la puerta de enlace de la API y se comparan con los activos de la API para descubrir interfaces de API desconocidas.
Protección contra ataques de API
Utilice de manera integral tecnologías como IA, big data e inteligencia de amenazas para monitorear y analizar continuamente el comportamiento del tráfico, detectar amenazas y ataques de manera efectiva y brindar protección en tiempo real contra los ataques de seguridad de API. Al mismo tiempo, se realiza un control de cumplimiento de los parámetros de solicitud de API y un control en tiempo real de los parámetros de solicitud que no cumplen con las especificaciones.
Control de datos confidenciales
Identifique y filtre datos confidenciales en la transmisión de API y desensibilice o intercepte datos confidenciales en tiempo real para evitar riesgos de seguridad de datos.
Control de comportamiento de acceso
Establezca líneas de base de acceso multidimensionales y modelos de amenazas de API para monitorear y analizar los comportamientos de acceso de las interfaces de API. Por un lado, monitorea la desviación de la línea de base y protege contra situaciones de alta frecuencia para evitar cuellos de botella en el rendimiento de la API causados por situaciones de alta frecuencia; por otro lado, identifica de manera eficiente comportamientos de acceso anormales para evitar pérdidas comerciales causadas por accesos maliciosos. Al mismo tiempo, la autenticación API y los datos de autenticación se obtienen de la puerta de enlace API para evitar llamadas API no autorizadas y garantizar que solo los usuarios legítimos puedan acceder a la interfaz API.
En la actualidad, China ya cuenta con una solución de seguridad innovadora completa para la protección de API. Ruishu Information, como innovador de la tecnología de seguridad dinámica de China y fabricante profesional en el campo de la defensa contra ataques de automatización de Bot, lanzó la "Plataforma de Control y Gestión de Seguridad API Ruishu" que cubre todo el ciclo de vida de la gestión de protección de seguridad API, que puede tratar de manera efectiva con ataques de automatización de Bot amenazas de seguridad API.
La "Plataforma de control y gestión de seguridad API de Ruishu", como el primer lote de productos de seguridad API en China que pasó la evaluación de "Capacidades de seguridad API nativas en la nube" de la Academia China de Tecnología de la Información y las Comunicaciones, se ha utilizado ampliamente en muchas industrias como finanzas, FMCG, comercio minorista, operadores y energía Brindar un fuerte apoyo a las empresas para realizar el control de seguridad API y la seguridad de los datos.