BLOG

Riesgos y desafíos de seguridad de API modernas resueltos con soluciones de protección de API y aplicaciones web (WAAP)

Miniatura de Ian Dinno
Ian Dinno
Publicado el 21 de julio de 2023

Las aplicaciones modernas requieren un conjunto avanzado de capacidades para proteger suficientemente toda su superficie de amenazas. Los firewalls de aplicaciones web (WAF) todavía cumplen una función, pero a medida que las aplicaciones evolucionan y las API persisten, se necesita más para monitorear, rastrear y proteger toda la superficie de la aplicación, incluida una red creciente de conexiones API.

Algunas posibles limitaciones de los WAF para la seguridad de las API

Si bien los WAF son herramientas valiosas para la seguridad de las API , no todos son iguales y algunos tienen limitaciones a la hora de proteger las API. Estas limitaciones podrían incluir:

  • Manejo de autorizaciones de API complejas: Las API a menudo emplean mecanismos de autorización más complejos más allá de la autenticación tradicional basada en sesión utilizada en aplicações web. Los WAF pueden tener dificultades para gestionar esquemas de autorización complejos como OAuth 2.0, JWT (JSON Web Tokens) o autenticación basada en tokens personalizados.
  • Análisis de variaciones de protocolo y carga útil: Las API pueden utilizar varios protocolos (REST, GraphQL, SOAP) y formatos de carga útil (JSON, XML) con diferentes estructuras de datos y esquemas. Los WAF pueden tener un soporte limitado para analizar y validar estas variaciones, lo que potencialmente genera una visibilidad limitada y más falsos positivos (o falsos negativos) en la detección de amenazas.
  • Limitación de velocidad: La limitación de la velocidad de la API es crucial para protegerse contra el comportamiento abusivo y el agotamiento de los recursos de la API. Los WAF pueden enfrentar dificultades para limitar con precisión la velocidad del tráfico de API debido a la naturaleza dinámica de las solicitudes de API y al requisito de limitación de velocidad en función de parámetros específicos de la API.
  • Información sobre ataques específicos de API: Las API son susceptibles a vectores de ataque específicos, como contaminación de parámetros, ataques de inyección específicos de API o escenarios de abuso de API. Es posible que los WAF no tengan reglas o heurísticas especializadas para detectar y mitigar eficazmente estos ataques específicos de API.
  • Funcionalidad de gestión de API: Los WAF se centran principalmente en aspectos de seguridad y pueden carecer de las capacidades integrales de gestión de API necesarias para la gobernanza de API, la documentación, el control de versiones y las funcionalidades del portal para desarrolladores.

Mejora de los WAF para la seguridad de las API

Es importante tener en cuenta que, si bien los WAF siguen siendo la piedra angular de la seguridad de las aplicaciones y son una capa fundamental para proteger las API, es necesario hacer más. Las organizaciones están considerando e implementando una variedad de enfoques, por una combinación de razones: costo, complejidad, conceptos erróneos y malentendidos sobre cómo proteger adecuadamente las API , y más. Muchas organizaciones están ampliando sus WAF existentes con puertas de enlace API para crear, administrar y publicar sus API al mismo tiempo que aplican políticas de uso y controlan el acceso. Este es un buen punto de partida, pero aún deja muchas lagunas en la postura de seguridad de la API.

Entonces, ¿qué sigue? ¿Cómo lidiar con API desconocidas o encubiertas? ¿Qué pasa con el control granular de puntos finales de API? ¿Qué pasa con las API de terceros que no necesariamente controlas? Aceptemos el desafío con lo desconocido... las API de sombra. Esto puede llevar a una organización a buscar una herramienta especializada en descubrimiento y vulnerabilidad de API para agregar a la combinación mientras trabajan para cubrir todas las bases de API.

¿Ves a dónde va esto? Las cosas se vuelven muy complejas muy rápidamente. Algunas organizaciones con presupuesto, experiencia y recursos prefieren un enfoque de lo mejor de su clase, pero para la mayoría, cubrir la superficie de amenazas de seguridad de la API con un mosaico de soluciones diferentes solo perpetúa uno de los mayores desafíos de seguridad, que es la COMPLEJIDAD . Añadir más soluciones puntuales puede volverse insostenible rápidamente, además de que dificulta bastante la visibilidad y el monitoreo efectivos.

Cómo pueden ayudar las WAAP: Seguridad integral para aplicaciones y API

Introduzca las soluciones de protección de API y aplicaciones web (WAAP) . ¿Por qué acumular más tecnologías independientes, probablemente de diferentes proveedores, y que no correlacionan los conocimientos de manera cohesiva con su ya complejo ecosistema de seguridad de aplicaciones? De ahí la evolución hacia (y desarrollo de) las ofertas WAAP. Las soluciones WAAP modernas pueden ser parte de la respuesta a las necesidades de seguridad de los entornos de aplicaciones modernos, basados en microservicios, multicloud e híbridos, combinando las capacidades que se encuentran en los WAF tradicionales con funciones especializadas que son fundamentales para monitorear y proteger las API, todo en una solución consolidada (a menudo entregada como SaaS).

Conceptos erróneos comunes sobre las WAAP y su capacidad para supervisar y proteger las API

Existen conceptos erróneos sobre los WAAP que consideran que carecen de la funcionalidad necesaria para brindar una seguridad de API integral. Algunos de los mitos que puede haber escuchado incluyen que los WAAP no pueden monitorear ni rastrear las API a lo largo del tiempo e identificar anomalías, que carecen de capacidades de aprendizaje avanzadas para realizar un seguimiento de las aplicaciones y los puntos finales de API nuevos y cambiantes, o que no pueden rastrear y discernir la intención del usuario final.

Esto es sencillamente falso. Muchas soluciones WAAP modernas, como F5 Distributed Cloud WAAP, se desarrollan con capacidades de IA/ML que potencian funciones de seguridad de API críticas, como el descubrimiento automático de API, la aplicación de esquemas, la detección de anomalías de API y usuarios, y más. Y a diferencia de lo que está disponible con muchos productos de seguridad puntuales de solo API que se basan en análisis fuera de banda, con las soluciones WAAP el análisis de tráfico y el bloqueo del tráfico de aplicaciones y API ocurre dentro de una única solución en línea. No es necesario transmitir o reflejar datos en una solución (o soluciones) separada, lo que puede retrasar el análisis, la detección y la mitigación de amenazas.

Para obtener más información sobre F5 Distributed Cloud WAAP y sus capacidades de seguridad de API, visite nuestro sitio web y vea una breve demostración de la solución en acción.