Cequence Security es una empresa respaldada por capital de riesgo que ha recaudado más de US$100 millones de firmas de riesgo líderes y de primer nivel en Silicon Valley.
“Procesamos más de 6 mil millones de llamadas API por día en toda nuestra base de clientes en una variedad de industrias y geografías.”
Actualmente, está protegiendo más de 2 mil millones de cuentas de usuario de una variedad de fraudes y abusos. “En todos estos clientes, los activos generales que estamos protegiendo ascienden a más de US$ 1.300 millones”, aseguró el entrevistado.
El ejecutivo, destacó más de 100 marcas globales están utilizando Cequence para proteger sus API, incluyendo líderes en una variedad de verticales de la industria como telecomunicaciones, finanzas, artículos de lujo, comercio minorista, plataformas sociales y sitios de citas.
“Cada inicio de sesión de un cliente en American Express en todo el mundo pasa por Cequence. Su director de datos se ocupa de problemas como la fuga de datos que involucran números de seguro social y datos privados de clientes, y se asegura de que su gobierno cumpla con los estándares requeridos por los reguladores y con Cequence Security. Estamos protegiendo su base de clientes de adquisiciones de cuentas. Es un cliente satisfecho desde hace más de 5 años”, puntualizó a modo de ejemplo.
Inteligencia de amenazas
Como parte de su solución, Cequence Security cuenta con una inteligencia de amenazas seleccionada para el problema de seguridad de API que se actualiza constantemente, con una base de datos que tiene más de 100 millones de puntos de datos o registros. “Estas llamadas de API 6B por día actualizan constantemente esa inteligencia de amenazas y la redistribuyen a todos los clientes de manera regular.
“Esta base de datos de inteligencia de amenazas se incorpora constantemente al producto, beneficiándose desde el primer momento de los datos que Cequence ha seleccionado, como huellas dactilares y firmas de herramientas de ataque conocidas, direcciones IP de proxy malicioso (residencial, centro de datos, a prueba de balas, etc.) o credenciales filtradas conocidas”, explicó Azad.
“A partir de este año (2022), los ataques API se convertirán en el vector de ataque más frecuente.”
Gartner
Para el especialista, el crecimiento masivo de las API y las soluciones de seguridad heredadas no pueden seguir el ritmo. “Como señalan los analistas de Gartner, ‘las empresas están produciendo una gran cantidad de API a un ritmo que supera la madurez de las prácticas de seguridad de redes y aplicaciones. Las API recién creadas son compatibles con arquitecturas emergentes y, con frecuencia, se alojan en entornos de nube. Esta situación se asemeja a los primeros días de la implementación de infraestructura como servicio (IaaS), ya que el uso de API no gobernado está en aumento. A medida que la arquitectura y las tecnologías operativas continúan madurando, los controles de seguridad intentan aplicar viejos paradigmas a nuevos problemas’”, citó.
Asimismo, comentó que, según una investigación de Gartner, para 2022, la gran mayoría de las aplicaciones habilitadas para la web (el 90 %) tendrán más superficie expuesta a ataques en forma de API que a través de la interfaz de usuario humano.
En ese sentido, lo que ha hecho Cequence es crear un mapa para la seguridad de API que una empresa típica puede tomar. “Hemos creado cinco pasos –algunos de los cuales son opcionales– para este ciclo de vida de seguridad de la API:
1) ¿A qué API pueden apuntar los atacantes? Este primer paso es comprender la superficie de ataque externa. Saber a qué API se puede acceder, cuáles son los entornos de alojamiento, si hay exposiciones accidentales, como bases de datos totalmente accesibles, archivos accesibles desde el exterior o servicios de monitoreo de rendimiento, ¿existe algún riesgo de exposición accidental? ¿Qué API están alojadas?
2) Catalogación de API y obtención de un inventario en tiempo de ejecución de todas sus API. Entonces, una vez que se haya identificado el entorno. El siguiente paso es saber qué están haciendo estas API y cuál es su nivel de comportamiento en tiempo de ejecución.
Se necesita saber si estas API son administradas o no administradas, ¿son API ocultas o no autorizadas en su infraestructura donde su equipo de seguridad no está al tanto de que estas API se están activando? Pueden o no estar pasando por una puerta de enlace API. Y es posible que no estén siguiendo su estrategia de administración de API.
“Entonces, catalogar estas API en tiempo de ejecución, asegurarse de que estén usando los controles de seguridad correctos, desde el punto de vista de autorización y autenticación, asegurarse de que no estén filtrando información confidencial que no desea que sus API intercambien, y hacer asegúrese de que sus API se ajusten a los esquemas”, resumió el Chief Revenue Officer de Cequence Security.
3) ¿Se está analizando los ataques dirigidos a estas API? Por mucho que se conozca el entorno, que las API estén catalogadas y que se sepa que estas API utilizan la autenticación y autorización de seguridad adecuadas, las API completamente limpias y seguras aún pueden ser el objetivo de atacantes cada vez más sofisticados y, a menudo, implacables. Esto puede ser en forma de los diez principales ataques enumerados por OWASP, abuso de lógica empresarial o bots simples, que conducen al fraude. Estos son los ataques que pueden estar dirigidos a sus API con o sin garantizar que su higiene esté a la altura.
Por lo tanto, la detección de ataques, para los atacantes que se dirigen a estas API, es el tercer paso en su viaje de seguridad de API.
4) Una vez que detecta estos ataques, lo que hace a continuación es realmente el cuarto paso. ¿Cómo responde a estos ataques dirigidos a sus API?
Cequence cree que la mitigación nativa es fundamental y no depender de otras fuentes o soluciones, y recomendamos buscar una solución de seguridad de API que pueda responder a los ataques de API por sí misma, en lugar de depender de soluciones de terceros como WAF y firewalls, o gateways API.
El motivo de esta mitigación nativa es asegurarse de tener un módulo de respuesta que vea el mismo tráfico que el módulo de detección, que puede no ser el caso si confía en un WAF o una puerta de enlace API. También desea asegurarse de que no haya un bloqueo de proveedor basado en una dependencia de terceros.
Y una vez que comience a realizar una acción de respuesta, desea recibir comentarios para asegurarse de que la acción de respuesta se realizó dentro de una sola consola unificada en lugar de buscar dos proveedores diferentes.
5) El quinto paso se trata de las pruebas de API y asegurarse de que sus API estén seguras incluso antes de su lanzamiento.
Las pruebas consisten en entrar en el ciclo DevOps y probar estas API para detectar vulnerabilidades de seguridad, debilidades, falta de autenticación, y asegurarse de que sean seguras antes de que entren en funcionamiento.
Productos
Cequence Security ayuda a las organizaciones a completar este viaje del ciclo de vida de la seguridad de la API es a través de tres productos diferentes, todos impulsados por un único motor de aprendizaje automático e inteligencia artificial (ML/AI).
API Spyder analiza la superficie de ataque externa, mira hacia afuera y también lo ayuda con el quinto paso, que es la prueba de seguridad de la API. “Esta herramienta no requiere absolutamente ningún despliegue. Y es un sondeo requerido de cero contacto y cero conocimiento de su superficie de ataque externa”, dijo el entrevistado.
API Sentinel analiza la catalogación de API, la detección de ataques y también la mitigación de esos ataques. “Esto se enfoca principalmente en encontrar API en la sombra, API no administradas, junto con API administradas, API con problemas de higiene como autenticación débil, fuga de información confidencial. Luego, generar una respuesta para las opciones de mitigación nativas para esas debilidades”, explicó.
Bot Defense busca principalmente ataques como el abuso de la lógica empresarial, los bots y el fraude. “Incluso si se ha ocupado de la higiene de la API, el abuso de la lógica empresarial o los ataques de bots aún pueden ocurrir y este módulo se encarga de este tipo de ataques”, agregó Azad.
El entrevistado concluyó afirmando que implementar las soluciones Cequence es fácil porque “básicamente implica solo unos pocos pasos. La primera orden del día que recomendamos es descubrir primero su superficie de ataque externa, utilizando API Spyder, que no requiere ninguna implementación”, señaló. “Y también podemos implementarlos en la nube pública o privada, en las instalaciones o híbridos”.
Informe de amenazas y uso de la API de seguridad de Cequence de 2022
-14.400 millones o el 70 % de los 21.100 millones de solicitudes de aplicaciones analizadas se basaron en API.
-Aumento del 95 % en seis meses en el uso de API para facilitar los inicios de sesión y los registros de cuentas, y este es un gran problema y un gran objetivo para los atacantes, y donde realmente comienza el fraude y el abuso.
-Se descubrió que del 80 % o 1800 millones de ataques bloqueados estaban dirigidos a API.
-Las aplicaciones están evolucionando, la infraestructura está evolucionando, pero la seguridad de las API no está evolucionando. Dando como resultado brechas de seguridad y compromisos.
