Programado para coincidir con la conferencia anual de ciberseguridad de RSA, Google Cloud anunció actualizaciones de Apigee, su servicio de análisis predictivo y administración de API, diseñado para ayudar a prevenir ataques a la lógica empresarial.
Los ataques de lógica empresarial son fallas en el diseño y la implementación de una aplicación que permiten a los actores malintencionados provocar un comportamiento no deseado. Pueden ser difíciles de identificar y muy extendidos. Según un estudio encargado por Silver Tail Systems, entre 2011 y 2012, el 90 % de las empresas perdieron ingresos debido a ataques a la lógica empresarial.
Para combatir este tipo de vulnerabilidades, Google está introduciendo nuevos modelos de aprendizaje automático en Apigee que, según dice, fueron entrenados para detectar posibles ataques a la lógica empresarial. Google Cloud afirma que los modelos, disponibles para todos los clientes de Apigee Advanced API Security y capacitados con datos internos de Google, son lo suficientemente sensibles como para detectar comportamientos sutiles como un atacante con control de un servidor que cambia los «patrones de actividad» de dicho servidor.
“Los equipos internos de Google han entrenado y utilizado los modelos de aprendizaje automático que impulsan la detección de abuso de API para proteger nuestras API públicas”, dijo Shelly Hershkovitz, gerente de producto de Google Cloud, en una publicación de blog. “Los modelos se basan en años de aprendizaje y mejores prácticas”.
Junto con los modelos, Apigee está introduciendo paneles que aparentemente identifican con mayor precisión los abusos de API al encontrar patrones dentro de la gran cantidad de alertas. Los tableros intentan “capturar la esencia” de los ataques, como dice Hershkovitz, junto con características importantes como la fuente de los ataques, la cantidad de llamadas a la API y la duración de los ataques.
“Con el crecimiento del tráfico de API, las empresas de todo el mundo también están experimentando un aumento en los ataques de API maliciosos, lo que hace que la seguridad de API sea una prioridad mayor”, continuó Hershkovitz. “Estamos haciendo que sea más rápido y fácil detectar incidentes de abuso de API”.
Créditos de imagen: Apigeo
Al punto de Hershkovitz, es cierto que las preocupaciones sobre la seguridad de las API han crecido, y siguen creciendo, en la empresa. Según una encuesta (aunque realizada por un proveedor de seguridad de API, transparencia total), a fines de 2022 se registró un aumento importante en los ataques de API, con un aumento del 400 % en el volumen con respecto a solo unos meses antes.
Estos ataques pueden ser costosos. Un análisis de Imperva de casi 117 000 incidentes de seguridad encontró que la inseguridad de API cuesta a las organizaciones entre $41 mil millones y $75 mil millones al año. Y un informe separado del Open Worldwide Application Security Project sugiere que las pequeñas empresas enfrentan la mayor cantidad de eventos de seguridad de API, y la mayoría de los incidentes afectan a empresas con menos de $ 50 millones en ingresos, lo que hace que cada violación sea aún más perjudicial para el resultado final.
La propia investigación de Google, que debe tomarse con pinzas, muestra que el 50% de las organizaciones han experimentado un incidente de seguridad de API en los últimos 12 meses; de ellos, el 77 % retrasó el lanzamiento de un nuevo servicio o aplicación.
“Es vital que las organizaciones detecten y mitiguen los incidentes de abuso de API de manera temprana para evitar daños fiscales y de reputación prolongados en el negocio”, dijo Hershkovitz. “Los incidentes de seguridad de API son cada vez más comunes y perjudiciales”.