Por Ben Zilberman
23 de Junio de 2020
Los bots son geniales. Son realmente geniales. Las APIs también; ambos aumentan su productividad con el avance de la automatización y el intercambio de datos comerciales y respaldan la toma de decisiones. Si todo fuera tan perfecto... Lamentablemente, el 81% de las organizaciones han reportado ataques contra sus APIs y el 75% ha sufrido ataques de bots en un período de 12 meses.
Las aplicaciones y servicios modernos dependen en gran medida de la integración y comunicación de las APIs. Si bien, por un lado, las APIs brindan sinergia y eficiencia a las operaciones comerciales al simplificar la arquitectura y la entrega, por otro lado, introducen una amplia gama de riesgos y vulnerabilidades. Una de las amenazas más importante es el tráfico automatizado – detección de bots con intenciones maliciosas.
En nuestra base de clientes, el tráfico de bots malos aumentó un 50% en la primera mitad de 2020 en comparación con 2019.
Casos de uso de APIs y el impacto de los bots maliciosos
Casos de uso de APIs
La protección de los Fairly Static se percibe como más fácil, ya que se anticipan las llamadas a la API y se predicen los esquemas JSON / XML, por lo que construir una línea de base de comportamientos normales para detectar anomalías es relativamente fácil. Pero, ¿sirve al objetivo de la empresa?
Los tres mercados verticales que más sufren son el comercio electrónico, los videojuegos y el turismo. Los tres monetizan en gran medida a las APIs y las usan para procesar información confidencial. Como resultado, tienen tolerancia cero a los falsos positivos (¿dejará afuera a un jugador? ¿bloqueará a un usuario que está dispuesto a pagar?), que es lo que suele suceder cuando la tecnología de detección de anomalías se encuentra con un nuevo patrón, especialmente si esta tecnología se creó para una API web o móvil. No obstante, la mayoría (56%) de las APIs que existen no son web o móviles estándares, y requieren un enfoque diferente:
Fuente: The State of API 2019, SMARTBEAR (n=3,372)
Obviamente, los dinámicos escenarios requieren una protección con adaptación continua, que también represente un desafío para el machine learning; los algoritmos deben determinar rápidamente si un nuevo patrón es legítimo o no y ajustar la política de seguridad en consecuencia.
Asegurar las APIs correctamente requiere alinearse con los objetivos del negocio, de lo contrario, deberá lidiar con muchos problemas. En otras palabras, NO, no puede utilizar la misma solución de gestión de WAF o bot adaptada para aplicaciones web y aplicarlas para proteger las APIs (a menos, por supuesto, que disfrute de usuarios enojados y de situaciones tediosas).
Impacto comercial de los bots maliciosos que se enfocan en las APIs
El primero es obvio: si elimina el tráfico de bots malos, ahorrará una cantidad de dinero considerable, especialmente si sus servicios se ejecutan en una infraestructura de nube pública. Si hace menos llamadas, sus costos de utilización disminuirán. El resto es más complejo. Probablemente confíe en los bots para sus objetivos comerciales: motores de búsqueda, web scrapers legítimos y otros, por lo que el principal objetivo es comprender la intención del bot.
Las amenazas automatizadas más comunes que se enfocan en las APIs ¿Cómo? ¿Un bot puede tener una intención?
Bueno, técnicamente el que tiene la intención es el humano que ha escrito o está usando el bot. Sin embargo, dado que los bots operan de manera similar al humano, debe tener en cuenta varios indicadores para determinar si esta intención es legítima o maliciosa. Dado que los bots sofisticados de hoy en día pueden imitar el comportamiento del usuario, debe hacer una verificación cruzada de los detalles técnicos con los patrones de comportamiento. En este caso, comportamientos que son comunes en las APIs.
Por ejemplo, si hay un medidor de agua o un rastreador de actividad que realiza una llamada a una API cada cinco minutos para sincronizar, o una API que transfiere datos a una función sin servidor, o simplemente un intento de iniciar sesión con credenciales de usuario, es esencial que distinga entre una actividad legítima y un ataque de bots.
Síntomas de ataques de bots a las APIs
Los siguientes son indicadores de un ataque de bots a las APIs:
Solicitud HTTP única (desde un navegador, sesión o dispositivo únicos)
Un aumento en la tasa de errores (por ejemplo, un código de error 404 de estado HTTP, fallas de validación de datos, fallas de autorización, etc.)
Exceso de uso de las aplicaciones desde una sola dirección IP o token API
Un aumento repentino en el uso de la API de parte de grandes direcciones IP en servidores distribuidos
Una alta proporción de solicitudes GET/POST a HEAD para un usuario/sesión/dirección IP/token API en comparación con usuarios legítimos
Vulnerabilidades clave de las APIs y ataques automatizados
Hoy, Radware introdujo una protección de APIs avanzada contra las amenazas automatizadas para ayudar a las organizaciones a:
Evitar la pérdida de datos confidenciales debido a ataques de bots como ATO o web scraping
Eliminar el impacto financiero de los ataques de bots en la monetización de las APIs
Reducir el consumo y los costos de utilización de las APIs
Proporcionar visibilidad de las violaciones y explotaciones de los bots que se enfocan en las APIs con análisis basados en la intención de los mismos.