![\"RSA](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/05\/RSA-surggen-nuevos-ataques-sofisticados-e1683044127995.webp\" "\\"\\"")
<\/a>Para protegerse contra las amenazas que enfrenta el mercado, Raynovich sugiere un enfoque de “Shift Left” en la seguridad.<\/p>\n
Esto significa que las pruebas y el despliegue de una aplicaci\u00f3n deben realizarse temprano en el proceso de desarrollo, en lugar de esperar hasta que se haya completado toda la aplicaci\u00f3n.<\/p>\n
Esto permite que los desarrolladores prueben y aseguren la aplicaci\u00f3n a medida que la van construyendo, en lugar de tratar de asegurar una aplicaci\u00f3n completa despu\u00e9s de que se haya construido.<\/p>\n
Raynovich tambi\u00e9n discuti\u00f3 el papel de los equipos de seguridad en el enfoque Shift Left, se\u00f1alando que los equipos de seguridad deben trabajar en estrecha colaboraci\u00f3n con los desarrolladores y los equipos de operaciones para garantizar que la seguridad se integre en todo el proceso de desarrollo.<\/p>\n
Esto incluye la identificaci\u00f3n y el seguimiento de todas las API que se utilizan en la empresa.<\/p>\n
Adem\u00e1s, Raynovich se\u00f1al\u00f3 que muchas empresas no saben cu\u00e1ntas API utilizan, lo que puede hacer que sea dif\u00edcil asegurarlas. Tambi\u00e9n habl\u00f3 sobre los “phantom API”, que son API que se han retirado de las aplicaciones pero que a\u00fan est\u00e1n disponibles para su uso. Estas API pueden ser vulnerables a ataques de inyecci\u00f3n de c\u00f3digo y otros tipos de ataques.<\/p>\n
En general, Raynovich enfatiz\u00f3 la importancia de un enfoque hol\u00edstico para la seguridad de la nube y las aplicaciones basadas en la nube.<\/p>\n
La seguridad debe ser un componente clave en todo el proceso de desarrollo, desde la creaci\u00f3n de la aplicaci\u00f3n hasta su lanzamiento y mantenimiento continuo. Al trabajar juntos, los equipos de desarrollo, operaciones y seguridad pueden garantizar que las aplicaciones sean seguras y resistentes a las amenazas.<\/p>\n
Completamente de acuerdo con tus comentarios, Scott.<\/p>\n Lo que estamos viendo es que, como seres humanos, estamos adoptando nuevas tecnolog\u00edas antes de comprender completamente c\u00f3mo asegurar los riesgos asociados a los cambios en los modelos operativos y la superficie de ataque.<\/p>\n Este es un patr\u00f3n que hemos visto en la tecnolog\u00eda durante m\u00e1s de 20 a\u00f1os.<\/p>\n Cuando empec\u00e9 a trabajar en un gran banco, implementamos los primeros escritorios como reemplazo de los terminales tontos de mainframe.<\/p>\n Algunas de las cosas que hicimos al implementar estas primeras m\u00e1quinas con Windows son cosas que nunca se har\u00edan hoy en d\u00eda, como la falta de prevenci\u00f3n de malware, que todos los usuarios tuvieran permisos de administrador y el uso de credenciales predeterminadas, lo que llev\u00f3 a muchos problemas con los puntos finales y otros problemas.<\/p>\n Si recuerdas cuando fuimos a la web por primera vez, si has estado en esto durante un tiempo, probablemente recuerdes que sol\u00edamos poder manipular los carritos de compra, cambiando la cantidad a cero o incluso a negativo, durante las compras en l\u00ednea.<\/p>\n Y tuvimos que resolver ese problema.<\/p>\n Lo mismo ocurri\u00f3 cuando nos mudamos a la nube, tuvimos que aprender a manejar esta nueva superficie de ataque, y para mis empresas fue debido a un mandato regulatorio, tuvimos que hacer pruebas de estr\u00e9s que no se pod\u00edan hacer localmente, as\u00ed que nos vimos obligados a ir a la nube para cumplir con los requisitos.<\/p>\n Estos impulsores son muy similares a lo que estamos viendo en la banca abierta y en el cuidado de la salud, donde existen mandatos regulatorios para cosas como abrir tuber\u00edas para la elecci\u00f3n del consumidor o reducir las barreras para los consumidores.<\/p>\n Pero no obtienes protecci\u00f3n si lo haces de manera incorrecta o insegura. Literalmente estuve reunido con reguladores en Carolina del Norte la semana pasada, y esperan que proporciones estos valiosos beneficios a los consumidores, pero no obtienes protecci\u00f3n si no lo haces de manera segura.<\/p>\n No puedes decir “bueno, el regulador dijo que ten\u00edamos que hacerlo, as\u00ed que no es nuestra culpa si no sabemos c\u00f3mo asegurarlo, no se lo culpen a ellos”.<\/p>\n Eso no funciona, eso no vuela. Y con las API, como t\u00fa describiste, los d\u00edas de tener aplicaciones monol\u00edticas, donde ten\u00edas que tener ciclos de actualizaci\u00f3n de fin de semana para colocar todos tus “jars” y “wars” en los lugares correctos.<\/p>\n Esa arquitectura tiene sus desventajas, pero desde una perspectiva de seguridad puede ser realmente f\u00e1cil para los profesionales de la seguridad, porque la arquitectura es como un castillo y un foso.<\/p>\n Ese modelo es muy familiar para los profesionales de la seguridad. Pero es lento, y cuando divides esas aplicaciones y comienzas a usar una arquitectura basada en microservicios, obtienes toda la velocidad, toda la velocidad de respuesta.<\/p>\n Tienes m\u00faltiples equipos que pueden lanzar a su propio ritmo y las API abstraen la tecnolog\u00eda, todos estos vientos de cola est\u00e1n impulsando esta r\u00e1pida adopci\u00f3n de las API.<\/p>\n Y de la misma manera que el software est\u00e1 comiendo el mundo – Marc Andreessen lo dijo a partir del a\u00f1o 2011 m\u00e1s o menos.<\/p>\n Estoy de acuerdo con los comentarios de Scott.<\/p>\n Lo que estamos viendo es que como humanos, adoptamos nuevas tecnolog\u00edas antes de comprender completamente c\u00f3mo asegurar los riesgos asociados con los cambios en los modelos operativos y la superficie de ataque.<\/p>\n Este patr\u00f3n se ha repetido en la tecnolog\u00eda durante m\u00e1s de 20 a\u00f1os.<\/p>\n En una gran entidad bancaria en la que trabaj\u00e9, cuando se implementaron los primeros equipos de escritorio para reemplazar los terminales tontos del mainframe, cometimos errores como no tener una buena prevenci\u00f3n de malware, permitir que todos los usuarios tuvieran acceso de administrador y usar credenciales predeterminadas.<\/p>\n Estos errores llevaron a problemas de seguridad en los endpoints.<\/p>\n Cuando se lanz\u00f3 la web, tambi\u00e9n hubo que resolver problemas como la manipulaci\u00f3n de carritos de compra durante las compras en l\u00ednea.<\/p>\n Lo mismo sucedi\u00f3 cuando pasamos a la nube: tuvimos que aprender a manejar esta nueva superficie de ataque, y en mi empresa lo hicimos por un mandato regulatorio que nos obligaba a hacer pruebas de estr\u00e9s que no pod\u00edamos hacer en las instalaciones locales.<\/p>\n Esto es muy similar a lo que est\u00e1 sucediendo en la banca abierta y la atenci\u00f3n m\u00e9dica, donde las regulaciones obligan a abrir tuber\u00edas para la elecci\u00f3n del consumidor o reducir barreras para los consumidores, pero si no se hace de manera segura, no hay cobertura para los errores.<\/p>\n Los reguladores esperan que proporcionemos estos valiosos beneficios a los consumidores, pero no hay cobertura si no lo hacemos de manera segura. No podemos culpar a los reguladores si no sabemos c\u00f3mo asegurarlo.<\/p>\n Con los microservicios y las API, el antiguo modelo de aplicaci\u00f3n monol\u00edtica en el que la seguridad era m\u00e1s f\u00e1cil porque era como un castillo y un foso se est\u00e1 desmoronando.<\/p>\n Este modelo es lento, pero es familiar a los profesionales de la seguridad.<\/p>\n Al separar las aplicaciones y utilizar una arquitectura basada en microservicios, obtenemos velocidad y m\u00faltiples equipos pueden liberar al ritmo que deseen.<\/p>\n Adem\u00e1s, las API abstraen la tecnolog\u00eda y permiten una r\u00e1pida adopci\u00f3n.<\/p>\n En resumen, las API est\u00e1n comiendo el software. Nuestros colegas en Akamai informan que el 91% del tr\u00e1fico que procesan son API.<\/p>\n Sin embargo, los defensores conocen menos de la mitad de las API que se utilizan, lo que representa un gran desaf\u00edo para comprender y asignar valores de riesgo a lo que sucede en estas interfaces y en los sistemas y datos de backend que exponen.<\/p>\n Adem\u00e1s, con la creciente popularidad de las API, tambi\u00e9n hay un aumento en el riesgo de ciberataques.<\/p>\n Si los desarrolladores no prestan suficiente atenci\u00f3n a la seguridad al crear y configurar las API, pueden dejar expuestos datos confidenciales y sistemas cr\u00edticos a amenazas externas. En muchos casos, los atacantes se aprovechan de vulnerabilidades conocidas en las API para acceder a informaci\u00f3n sensible o para inyectar c\u00f3digo malicioso en los sistemas de destino.<\/p>\n Es importante que las empresas tomen medidas proactivas para asegurar sus API y limitar el riesgo de ciberataques.<\/p>\n Esto puede incluir el uso de soluciones de seguridad de API, como firewalls de API, y la implementaci\u00f3n de pol\u00edticas de autenticaci\u00f3n y autorizaci\u00f3n s\u00f3lidas para controlar el acceso a las API.<\/p>\n Tambi\u00e9n es crucial realizar pruebas regulares de seguridad para identificar y corregir cualquier vulnerabilidad potencial en las API.<\/p>\n En resumen, la creciente popularidad de las API ofrece muchas oportunidades para las empresas, pero tambi\u00e9n presenta nuevos desaf\u00edos de seguridad que deben abordarse.<\/p>\n Al tomar medidas proactivas para asegurar las API, las empresas pueden aprovechar los beneficios de esta tecnolog\u00eda sin exponerse innecesariamente a riesgos de seguridad.<\/p>\n Chuck Herrin, CTO de Wib, indic\u00f3 que la importancia de encontrar y gestionar APIs de manera adecuada.<\/p>\n Las APIs pueden provenir de diferentes fuentes, como c\u00f3digo fuente, software de terceros y dispositivos.<\/p>\n Es esencial que las empresas realicen un inventario de sus APIs, documenten y monitoreen su uso para evitar ciberataques y otros problemas de seguridad.<\/p>\n Los pentesters tambi\u00e9n pueden pasar por alto algunas APIs en sus pruebas de seguridad, lo que crea una falsa sensaci\u00f3n de seguridad. Antes de bloquear o proteger en tiempo de ejecuci\u00f3n, es importante conocer el panorama de amenazas y comprender todas las interfaces.<\/p>\n La falta de una gesti\u00f3n adecuada de las APIs puede llevar a vulnerabilidades que pueden explotarse. A medida que la adopci\u00f3n de APIs contin\u00faa creciendo, es importante que las empresas se enfoquen en encontrar y gestionar sus APIs de manera adecuada.<\/p>\n Chuck Herrin se\u00f1al\u00f3 que algunos de los APIs son escritos por el equipo, lo que resulta m\u00e1s f\u00e1cil de publicar o exponer en comparaci\u00f3n con gobernarlos y gestionarlos.<\/p>\n Estos APIs pueden estar en el c\u00f3digo fuente, en paquetes de software de terceros o en dispositivos de hardware.<\/p>\n Es importante para los equipos de seguridad tener un inventario completo de los APIs disponibles, ya que los APIs no solo se utilizan para transferir datos, sino tambi\u00e9n para invocar funciones y realizar acciones, lo que puede ser un riesgo de seguridad.<\/p>\n Sin embargo, muchos equipos de pruebas de penetraci\u00f3n no enumeran ni atacan directamente los APIs en su evaluaci\u00f3n, lo que puede generar una falsa sensaci\u00f3n de seguridad.<\/p>\n Herrin recomienda que los equipos de seguridad comiencen por establecer un inventario completo de sus activos y API disponibles antes de centrarse en la protecci\u00f3n en tiempo de ejecuci\u00f3n. Si no se conoce la superficie de ataque, no se puede tener una imagen completa del riesgo de seguridad.<\/p>\n Chuck Herrin, CTO de Wib, explica que las BOLA attacks son ataques de l\u00f3gica empresarial que se basan en la autorizaci\u00f3n de objetos rotos (BOLA por sus siglas en ingl\u00e9s: Broken Object Level Authorization).<\/p>\n Este tipo de ataques son comunes en las APIs, las cuales est\u00e1n dise\u00f1adas para interactuar con el c\u00f3digo y exponer la l\u00f3gica empresarial, pero no est\u00e1n protegidas por herramientas de seguridad de per\u00edmetro como los firewalls de aplicaciones web, que no pueden entender esta l\u00f3gica empresarial.<\/p>\n Por lo tanto, un atacante podr\u00eda manipular una solicitud de API para obtener acceso a recursos a los que no deber\u00eda tener acceso.<\/p>\n Herrin explica que los ataques BOLA son una de las principales preocupaciones de la lista de los 10 principales riesgos de seguridad de las APIs de OWASP (Open Web Application Security Project).<\/p>\n Adem\u00e1s, menciona otros tipos de ataques de l\u00f3gica empresarial, como las autorizaciones de nivel de funci\u00f3n rotas y las asignaciones masivas, que tambi\u00e9n son dif\u00edciles de detectar para las herramientas de seguridad de per\u00edmetro. En resumen, estos ataques aprovechan la l\u00f3gica de la aplicaci\u00f3n para obtener acceso no autorizado a recursos y datos cr\u00edticos.<\/p>\n Scott Raynovich, Fundador de Futuriom coment\u00f3 As\u00ed hablamos sobre por qu\u00e9 est\u00e1 fallando el ataque. \u00bfPor qu\u00e9? \u00bfQu\u00e9? <\/strong><\/p>\n Chuck Herrin, CTO de Wib<\/a> explic\u00f3: S\u00ed, exactamente. Normalmente, cuando evaluamos una postura de seguridad, o estamos comprometidos en una integraci\u00f3n, compromiso de prueba, la mayor\u00eda de los ataques de API tienen una cadena de ataque diferente a la que los profesionales est\u00e1n familiarizados con la cadena de ataque de Lockheed Martin o lo que sea.<\/p>\n Entonces, es un ataque organizado de forma muy predecible. Los ataques de API no necesariamente se ven as\u00ed.<\/p>\n Entonces, mientras que los ataques de inyecci\u00f3n, ver\u00e1s que hay uno que es verde en todas estas \u00e1reas aqu\u00ed para la inyecci\u00f3n, los ataques de inyecci\u00f3n todav\u00eda funcionan muy bien contra las API, como la inyecci\u00f3n de scripts entre sitios, la inyecci\u00f3n SQL, en muchos casos log4J y log4shell todav\u00eda est\u00e1n expuestos.<\/p>\n Pero los defensores est\u00e1n limitados mientras que los atacantes tienden a pensar en gr\u00e1ficos.<\/p>\n Y si eres vulnerable a trav\u00e9s de una API, no es como si dijeran, bueno, voy a piratear esta organizaci\u00f3n, pero solo voy a usar esta parte de la superficie de ataque. Y tuvimos un ejemplo de prueba de penetraci\u00f3n no hace mucho tiempo.<\/p>\n Enumeramos – este es un cliente gubernamental – enumeramos todas sus cuentas de usuario a trav\u00e9s de tres puntos finales diferentes – conseguimos el 100% aqu\u00ed, el 100% aqu\u00ed y el 100% aqu\u00ed, pudimos ver todos sus roles.<\/p>\n Luego abusamos de un punto final inseguro a trav\u00e9s de la inyecci\u00f3n de scripts entre sitios para elevar nuestro privilegio que nos dio derechos de publicador en esta aplicaci\u00f3n en particular.<\/p>\n Lo cual nos permiti\u00f3 cargar malware en el servidor gubernamental y luego en ese servidor gubernamental, pudimos explotar esa vulnerabilidad en otro punto final, escalarnos a nosotros mismos a administrador, bloquear a todos los dem\u00e1s administradores.<\/p>\n Y el siguiente paso ahora es: bien, tengo malware alojado en el dominio.<\/p>\n Tengo todos sus roles.<\/p>\n Tengo todas sus direcciones de correo electr\u00f3nico.<\/p>\n El siguiente paso para m\u00ed para un ataque para monetizar esto es un ataque de ransomware desagradable.<\/p>\n \u00bfCorrecto?<\/p>\n Y todo el rastreo de huellas, toda la recopilaci\u00f3n de informaci\u00f3n, la escalada de privilegios, todas estas cosas llegaron a trav\u00e9s de API, y los defensores estaban completamente ciegos ante ello.<\/p>\n Y en ese modelo, la primera indicaci\u00f3n de un problema de seguridad de API es un ataque de ransomware en el que ni siquiera est\u00e1n pensando en t\u00e9rminos de puntos finales y esta aplicaci\u00f3n.<\/p>\n Y as\u00ed, tenemos que seguir recordando a la gente que la I en API significa interfaz.<\/p>\n Es solo otra forma de ingresar, y uno de los grupos de la industria est\u00e1 prediciendo en este momento que en los pr\u00f3ximos a\u00f1os, el 90% de las aplicaciones web van a exponer m\u00e1s ataques a trav\u00e9s de API que de interfaces de usuario, y creo que esto es probablemente correcto.<\/p>\n Los beneficios son tan profundos para la arquitectura basada en microservicios y la rapidez con la que se puede brindar valor a su negocio; no hay vuelta atr\u00e1s y estamos avanzando en esta direcci\u00f3n.<\/p>\n rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa,\u00a0<\/span><\/p>\n rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa, rsa,\u00a0<\/span><\/p>\n Oracle revoluci\u00f3n de la nube 2023 al universo de la banca<\/a><\/p>\n VMware Tanzu y VMware Aria: aceleran el desarrollo y entrega de apps 2023<\/a><\/p>\n Fuerza de trabajo digital 2023: potencia a las empresas<\/a><\/p>\n Centros de Contacto: 6 Mejores Pr\u00e1cticas para Agentes Remotos<\/a><\/p>\n<\/a><\/a>Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h5>\n
Lea m\u00e1s sobre Aplicaciones Empresariales en;<\/h6>\n