Las API (interfaces de programación de aplicaciones) se han convertido en la piedra angular de la mayoría de empresas de software ágiles y modernas. Impulsan el cambio del software local monolítico a la nube y las aplicaciones basadas en microservicios. Sin embargo, Clouflare va más allá de las herramientas estándar de protección DDoS.
Los componentes más pequeños basados en funciones que se conectan a través de API son más fáciles de mantener. Los desarrolladores o equipos individuales se hacen cargo de un sólo elemento.
Hay muchas razones por las que la economía de las API está en auge, por supuesto. Sin embargo, esta proliferación potencialmente sirve a los atacantes con acceso ilimitado a los sistemas internos y las infraestructuras de las empresas. Muchas empresas tienen cientos o incluso miles de API para monitorizar. Algunas de ellas, ni siquiera saben que existen. Es por eso que la empresa de seguridad e infraestructura web Cloudflare está introduciendo nuevas formas de proteger los endpoint de API más allá de las herramientas de protección estándar.
Más allá de las herramientas estándar de protección DDoS
El nuevo conjunto de herramientas de detección de abuso de API de Cloudflare constituye varios elementos. La primera parte se relaciona con el descubrimiento de API, con Cloudflare desarrollando un sistema que crea un mapa confiable de API. Este brinda a las empresas una imagen precisa de su panorama de API. Con las API «descubiertas», la inteligencia de detección de ataques de Cloudflare se dirige primero a lo que llama «anomalías volumétricas». Esto establece un umbral de llamada de API para gestionar el abuso adivinando la frecuencia con la que se debe llegar legítimamente a cada ruta.
Merece la pena señalar que las herramientas de seguridad existentes ya pueden establecer «límites de velocidad» para evitar que una API se «agobie». Esto puede ayudar a evitar que los malos actores automatizados repitan la misma táctica de violación. Pero con tantas API desconocidas potenciales en una empresa, es difícil asignar umbrales realistas para cada escenario automáticamente sin causar problemas. Por ejemplo, es fácil establecer un umbral que bloquee una IP después de que supere las 100 solicitudes, pero ¿qué pasa si estas solicitudes son legítimas? En última instancia, todo se reduce al propósito de la API. Como señala Cloudflare, el problema «exige un árbitro más subjetivo», que Cloudflare está intentando con lo que se refiere como una técnica de «limitación de velocidad adaptativa».
La prevención como punto de partida
Con el aprendizaje automático no supervisado, Cloudflare puede determinar las API que probablemente requieran llamadas frecuentes de un usuario final y así establecer un umbral apropiado. Un sitio web de apuestas deportivas, por ejemplo, podría tener una API que ofrezca actualizaciones de resultados en tiempo real. Es probable que deba actualizarse varias veces por minuto para garantizar que la información esté actualizada. Pero este mismo sitio web de apuestas también podría tener una API para restablecer contraseñas. Es poco probable que un usuario final haga casi tantas llamadas a esa API como lo haría con los resultados de los partidos.
Cuando Cloudflare mapea las API de una empresa, establece líneas de base únicas para cada una y predice la intención de las solicitudes a medida que se realizan. «Si vemos 150 intentos repentinos de restablecer una contraseña, nuestros sistemas sospechan de inmediato un intento de robo de una cuenta». Además, Cloudflare dijo que puede cambiar los umbrales si, por ejemplo, detecta que debería haber una buena razón para un aumento repentino del tráfico, como un evento deportivo importante.
Además de detectar anomalías volumétricas, Cloudflare también aplica una capa adicional de seguridad a la que se refiere como «detección secuencial de anomalías», donde determina las rutas más probables o comunes que un usuario puede tomar a través de un sitio web y marca cualquier desviación de ella. Por ejemplo, podría ser que una secuencia típica implique que un usuario inicie sesión, se verifique a sí mismo y después entre con éxito en el sitio web. Pero si alguno de estos pasos de un procedimiento típico no está sincronizado, Cloudflare hace sonar la alarma.
Las nuevas herramientas de detección de «abuso» de API de Cloudflare están disponibles a través de un programa de vista previa sólo por solicitud de clientes ya existentes.