Google anunció hoy una vista previa de Advanced API Security, un nuevo producto dirigido a Google Cloud que está diseñado para detectar amenazas de seguridad relacionadas con las API. Basado en Apigee, la plataforma de Google para la administración de API, la compañía dice que los clientes pueden solicitar acceso a partir de hoy.
Abreviatura de «interfaz de programación de aplicaciones», las API son conexiones documentadas entre computadoras o entre programas de computadora. El uso de API va en aumento, con una encuesta que encontró que más del 61,6% de los desarrolladores confiaron más en las API en 2021 que en 2020. Pero también se están convirtiendo cada vez más en el objetivo de los ataques. Según un informe de 2018 encargado por el proveedor de ciberseguridad Imperva, dos tercios de las organizaciones están exponiendo API no seguras al público y a los socios.
Advanced API Security se especializa en dos tareas: identificar configuraciones incorrectas de API y detectar bots. El servicio evalúa regularmente las API administradas y brinda acciones recomendadas cuando detecta problemas de configuración, y utiliza reglas preconfiguradas para proporcionar una forma de identificar bots maliciosos dentro del tráfico de la API. Cada regla representa un tipo diferente de tráfico inusual desde una única dirección IP; si un patrón de tráfico de API cumple alguna de las reglas, Advanced API Security lo informa como un bot.
“Las API mal configuradas son una de las principales razones de los incidentes de seguridad de API. Si bien identificar y resolver errores de configuración de la API es una prioridad principal para muchas organizaciones, el proceso de administración de la configuración lleva mucho tiempo y requiere recursos considerables”, dijo Vikas Ananda, jefe de producto de Google Cloud. Advanced API Security facilita que los equipos de API identifiquen proxies de API que no cumplen con los estándares de seguridad. . . . Además, Advanced API Security acelera el proceso de identificación de violaciones de datos mediante la identificación de bots que resultaron exitosamente en el código de respuesta de estado de éxito HTTP 200 OK”.
Con el lanzamiento de Advanced API Security, Google evidentemente busca reforzar sus ofertas de seguridad bajo Apigee, que adquirió en 2016 por más de 500 millones de dólares. Pero la empresa también está respondiendo a una mayor competencia en el segmento de seguridad de API. Las empresas emergentes que ofrecen productos de ciberseguridad centrados en API incluyen Salt Security, Noname Security y Neosec . Muchos proveedores establecidos también han ampliado sus ofertas en los últimos años, incluidos Barracuda, Akamai, 42Crunch, Traceable, Ping Identity y Signal Sciences.
En marzo, Cloudflare lanzó una nueva puerta de enlace destinada a impulsar la seguridad de las API. Y en mayo, Imperva adquirió la empresa de seguridad API CloudVector.
Si bien el jurado está deliberando sobre qué tan bien funcionan estos productos comparativamente, la amenaza de los ataques transmitidos por API es muy real. Empresas como Peloton , Parler e incluso LinkedIn han sido víctimas de ataques impulsados por API en los últimos meses. No son los únicos. Según un estudio reciente de Cloudentity, el 44 % de las empresas han experimentado problemas de autorización de API «sustanciales» relacionados con la privacidad, la fuga de datos y la exposición de propiedad de objetos con API interna y externa.