Latinoamérica. Las API de autenticación son un objetivo maduro para los atacantes de abuso de credenciales. Como parte de un esfuerzo continuo para proteger a sus clientes de los ciberataques, Akamai monitorea y analiza solicitudes de inicio de sesión maliciosas en toda su base de clientes de seguridad.
Akamai Technologies da a conocer el resultado del análisis de Ryan Barnett y Elad Shuster, Investigadores Principales de Seguridad de Akamai sobre campañas de ataque de abuso de credenciales.
El equipo de investigación de amenazas de Akamai realizó un análisis de inicios de sesión Web para obtener información sobre cuán extendida está la adopción de inicios de sesión basados en la Interfaz de Programación de Aplicaciones (Application Programming Interface, API) y si esta tendencia también afecta a los atacantes y campañas de ataque. No sorprenderá que los inicios de sesión basados en API sean altamente atacados por los abusos de credenciales por una variedad de razones.
Puntos clave:
El 30% de todos los intentos de autenticación API son fraudulentos.
Las campañas de abuso de credenciales lanzadas en los puntos finales de autenticación API procesan cuatro veces más credenciales de usuario que las aplicaciones normales de autenticación basada en formularios
Las campañas de abuso de credenciales lanzadas en puntos finales de autenticación API pueden emplear 4.75% más de clientes de botnet.
Fondo de abuso de credenciales
Los inicios de sesión son uno de los lugares más destacados donde las aplicaciones han migrado de las solicitudes Web estándar a las llamadas API. Casi todas las aplicaciones Web y móviles mantienen el estado del usuario al solicitar a los usuarios que inicien sesión en la aplicación. Históricamente, las solicitudes de inicio de sesión eran solicitudes HTTP POST estándar, enviadas cuando un usuario hace clic en el botón "Iniciar sesión" en un formulario dentro de una página HTML. El aumento de los usos de AJAX, los marcos de JavaScript (por ejemplo, jQuery y Angular) y los marcos de aplicaciones móviles han cambiado las solicitudes de inicio de sesión hacia las llamadas API.
Como parte de un esfuerzo continuo para proteger a sus clientes de los ciberataques, Akamai ha estado monitoreando y analizando solicitudes de inicio de sesión maliciosas en toda su base de clientes de seguridad de Kona. Dichos ataques se conocen como Credential Abuse (también conocido como "Credential Stuffing").
Inicio de sesión diaria
Aplicación Log In Method Statistics. Durante esta investigación, analizaron los datos de un día de la plataforma Cloud Security Intelligence (CSI). Los datos incluyeron un total de 413,392,955 solicitudes de inicio de sesión diarias originadas en 27,882,776 direcciones IP, y apuntando a 48,702 hosts de Internet. La investigación mostró que al menos 42% de las aplicaciones monitoreadas usaban estrictamente las API de la Web y las llamadas para realizar inicios de sesión. Estas aplicaciones usaban JSON, XML, SOAP y otros formatos de mensajes relacionados con API para transmitir credenciales de usuario a las aplicaciones Web. Sólo 55% de las aplicaciones utilizaba estrictamente la autenticación basada en formularios estándar, mientras que sólo 3% utilizaba ambos enfoques.
Según la investigación, 78% de todas las solicitudes de inicio de sesión basadas en API fueron realizadas por clientes móviles. Estos incluyen aplicaciones móviles nativas, componentes de representación HTML dentro de aplicaciones móviles y navegadores móviles. El otro 22% se dividió entre los navegadores de escritorio estándar, como parte de las llamadas API AJAX y los dispositivos IoT, que en su mayoría eran consolas de juegos.
Estadísticas de campañas de abuso de credenciales
De los inicios de sesión totales que se analizaron, un enorme 30% se identificaron como inicios de sesión fraudulentos, enviados como parte de campañas masivas de Abuso de credenciales. Esta información es simplemente alucinante: casi uno de cada tres intentos de inicio de sesión se identificó como fraudulento.
Cuando se trata de campañas masivas de ataques de abuso de credenciales (millones de fuentes de ataque únicas al día), nuestros datos revelan que 88% de los atacantes atacaron llamadas API en algún momento de su campaña. Por el contrario, sólo 22% de los atacantes únicamente abusa de la autenticación estándar de formularios Web. Naturalmente, algunos atacantes apuntan a ambos, dependiendo de la aplicación a la que están atacando en este momento.
Una de las diferencias más obvias entre las campañas de Abuso de credenciales basadas en API y las que apuntan a formularios Web fue el número promedio de intentos de cuentas probadas por aplicación en cada campaña; los formularios Web estándar recibieron 1,000,000 de intentos de abuso cada uno, mientras que los inicios de sesión de aplicaciones API vieron cuatro veces más, ¡casi 4,000,000 intentos por aplicación!
Algunos proveedores en este espacio (incluido Akamai) proporcionan soluciones que son capaces de diferenciar entre humanos y bots en aplicaciones móviles. Dichas detecciones requieren que los desarrolladores de aplicaciones móviles incluyan en su código de aplicación móvil un SDK especial proporcionado por el proveedor, que recopila y analiza métricas y telemetría basadas en dispositivos móviles. Esto incluye mediciones como datos de posicionamiento global, gestos de pantalla táctil, resolución y orientación de pantalla y tipo de conectividad, por nombrar algunos.
Un factor clave en los ataques basados en API es la capacidad de distribuir fácilmente la carga de trabajo de ataque entre miles de nodos bot. Como los inicios de sesión basados en API debían consumirse mediante programación, para un adversario es extremadamente simple construir una red zombi distribuida, que dividirá el trabajo entre miles de nodos. Este enfoque es fundamental en las campañas de Abuso de credenciales: cualquier aplicación bloquea a un usuario después de tres intentos fallidos, forzando a las campañas a realizar ataques "bajos y lentos", donde cada nodo envía aproximadamente 3-5 solicitudes de inicio de sesión en el lapso de 24 horas.
Esta teoría está fuertemente respaldada por la investigación de Akamai. En promedio, una campaña de ataque basada en API implicará 19,000 direcciones IP exclusivas, mientras que las campañas que se dirigen al inicio de sesión estándar de formularios Web solo incluyeron 4,000 direcciones IP. Eso es 4.75 veces más nodos bot por campaña en inicios de sesión basados en API.
Conclusión
Las API de autenticación son un objetivo maduro para los atacantes de abuso de credenciales. Las organizaciones que buscan defenderse de tales ataques en toda su cartera de API deben asegurarse de que, sea cual sea la solución que elijan, maneje las siguientes áreas correctamente:
- Capacidad de analizar y comprender los mensajes de llamada de la API Web y móvil, y aplicar las protecciones y técnicas de detección adecuadas sobre ellos, de la manera más detallada posible. Esto incluye mensajes basados en XML, mensajes JSON y servicios RESTful.
- Capacidad para diferenciar entre ataques automáticos y maliciosos, como los realizados por bots, en un entorno API, que no necesariamente es consumido por los navegadores Web (por ejemplo, aplicaciones móviles nativas, consolas de juegos y otros dispositivos IoT).
- Proporcione un registro y una visibilidad adecuados de los eventos de seguridad en las API.La visibilidad debe ser granular y proporcionar información sobre puntos finales y métodos API específicos.
- Proporcione una solución de administración de seguridad API sencilla y limpia, que le permita a la organización asignar diferentes políticas de seguridad a diferentes puntos finales API, aplique protecciones de capas de aplicaciones granulares, así como limitaciones de velocidad y visibilidad de todas las API expuestas a usuarios externos.
- Brinde información sobre la reputación y la inteligencia del cliente, lo que incluye la visibilidad de actores maliciosos que realizan campañas específicas de abuso de credenciales a través de llamadas API, como las que utilizan las aplicaciones móviles, Web e IoT. Tal alimentación puede servir como una red de seguridad o una línea de defensa final en situaciones donde las protecciones previas brindan cobertura parcial.
Deje su comentario