Protección de aplicaciones y API en todas partes: Por qué y cómo
F5 ayuda a las empresas a digitalizar todos los aspectos de sus operaciones utilizando aplicações adaptables para brindar un mejor servicio a los clientes y lograr una mayor productividad a través de productos y servicios innovadores. Pero estas aplicações(cómo están construidas, las infraestructuras en las que se ejecutan y los datos que las alimentan) están en constante evolución, adaptación y cambio. Como resultado, abren una gama de nuevas vulnerabilidades potenciales, amplían su superficie de ataque y presentan nuevos requisitos de seguridad que sus equipos necesitan ayuda para resolver.
Por eso, en F5 habilitamos aplicações adaptables para el éxito de nuestros clientes, también debemos proteger las aplicaciones y las API en todas partes . Esto es fundamental para la estrategia de seguridad de aplicação de F5 (y el foco de este blog).
Más aplicaciones = seguridad más compleja
Para finales de la década, solo el mercado de aplicação móviles crecerá casi un 175%, de 206,7 mil millones de dólares en 2022 a 565,4 mil millones de dólares (USD ).
Con el crecimiento de las aplicaciones y la continua inversión digital en todas las áreas de negocio, existen amplias oportunidades para mejorar la eficiencia, desarrollar una mayor diferenciación y fortalecer las relaciones con los clientes.
Pero también hay desventajas: una cosa es crear una aplicación y otra muy distinta es escalarla para satisfacer las crecientes necesidades de una empresa digitalizada exitosa y su ecosistema.
He aquí un ejemplo sencillo: ¿Recuerdas cuando las aplicaciones de las compañías de seguros de automóviles te permitían simplemente ver los detalles de tu cuenta y pagar tu factura? Avanzamos hasta hoy y muchos le permiten tomar fotografías, enviar reclamos y administrar la parte inicial del proceso de reclamos, incluidas las interacciones con terceros, como talleres de reparación.
Cuando se comienza a considerar la magnitud y complejidad de este tipo de entorno digital (el volumen de API y microservicios necesarios para que este entorno funcione sin problemas y deleite a los clientes), comienza a surgir la magnitud y complejidad del desafío de la seguridad de las aplicaciones. A medida que las empresas se modernizan y duplican sus nuevas inversiones digitales, los líderes de seguridad se enfrentan a la cuestión de cómo mantenerse seguros y en cumplimiento.
Mucho ha cambiado…y es mucho más difícil protegerlo.
En los últimos años, hemos visto un cambio en cómo se crean, implementan y administran las aplicaciones.
Las aplicaciones comerciales alguna vez fueron monolíticas: una base de código única, bien protegida. Hoy en día las aplicaciones son rompecabezas formados por partes modulares como microservicios y contenedores. Algunas aplicaciones sólo existen como componentes efímeros y a pedido.
La informática empresarial alguna vez se llevó a cabo en centros de datos y tal vez con un solo proveedor de nube. Hoy en día, la mayoría de las organizaciones tienen múltiples aplicaciones ejecutándose en múltiples nubes. Las organizaciones modernas tienen el lujo de aprovechar múltiples proveedores de nube y aplicar cargas de trabajo específicas a plataformas específicas que se destacan en esa función.
Los protocolos de comunicaciones alguna vez fueron predecibles y sencillos. Los equipos de TI y seguridad podrían centrarse en IP, garantizando que el enrutamiento, la segmentación y los puertos estuvieran todos en orden y alineados. Las comunicaciones contemporáneas se producen a nivel de API (entre aplicaciones e incluso dentro de ellas), un fenómeno que las estrategias de seguridad de la mayoría de las organizaciones aún no han abordado.
Mientras tanto, las aplicaciones y la infraestructura heredadas todavía existen. En muchos casos, siguen siendo fundamentales para la misión y aún es necesario mantenerlos y protegerlos con cuidado. De hecho, la mayoría de las empresas actualmente operan aplicaciones tradicionales y modernas en entornos híbridos de múltiples nubes, pero todas quieren que sus políticas de seguridad se apliquen universalmente .
Un ejemplo de ello: Log4j
Cuando la vulnerabilidad de Apache Log4j/Log4Shell comenzó a ser noticia durante la temporada de vacaciones de invierno de 2021, muchos asumieron que los equipos de TI y SecOps comenzarían una frenética carrera para solucionar el problema y responder. Se esperaba que el simulacro durara unas cuantas semanas, o incluso meses (como ocurrió tantas veces anteriormente), y la historia eventualmente desaparecería.
Sin embargo, pronto se hizo evidente que muchas organizaciones tenían dificultades para determinar si la utilidad estaba presente o no en su pila tecnológica (o en la de sus proveedores y socios de datos). Hoy en día los exploits de Log4j persisten y los ataques siguen llegando. De hecho, Estados Unidos La Junta de Revisión de Seguridad Cibernética (CSRB) del Departamento de Seguridad Nacional concluyó recientemente que la vulnerabilidad de Apache Log4j podría seguir siendo un riesgo significativo para las organizaciones durante la próxima década o más .
Esto lleva a uno a preguntarse si Log4j es simplemente un caso atípico, un evento que ocurre una vez en una generación. ¿O es un indicio de que habrá más incidentes similares a Log4j en el futuro? Si es así, ¿qué lecciones deberían aplicar las organizaciones y los proveedores de cara al futuro?
La complejidad sigue siendo el enemigo
Si el dicho “la complejidad es el enemigo de la seguridad” sigue siendo cierto, entonces hoy el enemigo lo está haciendo bastante bien. A medida que las empresas intentan proteger más aplicaciones y API en entornos y plataformas cada vez más dispares, se requieren más herramientas e interfaces para realizar un seguimiento de ellas, lo que deja a los profesionales de seguridad luchando por mantenerse al día. El mismo trabajo ahora requiere más tiempo y consume más recursos, con un riesgo potencialmente mayor de error humano.
Y si simplemente satisfacer las necesidades de seguridad interna no fuera suficiente, existen las inminentes demandas de los reguladores, las auditorías y la supervisión de los socios comerciales, que crean un panorama de privacidad y cumplimiento de datos en constante evolución y cada vez más difícil.
Cómo puede ayudar F5
La estrategia de seguridad central de F5 ( Securing Apps & APIs Everywhere) tiene como objetivo ayudar a las organizaciones digitalizadas a proteger las aplicaciones y las API de todo el espectro de amenazas cibernéticas y fraude digital.
Nuestro enfoque se resume en estos tres pilares:
1.Proteja de forma consistente las aplicaciones antiguas y modernas… dondequiera que residan. En la nube, el centro de datos o el borde, necesita políticas y controles consistentes en todo momento. F5 ofrece una estructura para la seguridad de aplicação que elimina los silos y une las arquitecturas de aplicaciones tradicionales y modernas.
Obtendrá la flexibilidad de implementar aplicaciones donde las necesite (sin las restricciones o inconsistencias que normalmente vienen con los entornos distribuidos) con políticas y cumplimiento consistentes.
2.Proteja las aplicaciones modernas y sus API a la velocidad del negocio digital. A medida que las aplicaciones y las API se desarrollan e implementan en entornos DevOps dinámicos y ágiles, F5 puede ayudar a garantizar que se implementen, monitoreen y adapten automáticamente los controles adecuados, independientemente de cuándo el personal pueda pensar en "agregar" seguridad.
Sus equipos pueden lograr ciclos de desarrollo más rápidos, mayor protección y cumplimiento simplificado para nuevas aplicaciones y proyectos de digitalización, así como detección y remediación de amenazas en tiempo real para cargas de trabajo e infraestructura nativas de la nube.
Los equipos de seguridad ganan tranquilidad al saber que, a medida que los equipos de DevOps optimizan y actualizan las aplicaciones cada vez más rápido, su política de seguridad evaluada en función de los riesgos siempre permanece vigente.
3.Escale continuamente las defensas con IA/datos e inteligencia conectada. El alcance de visibilidad de F5 es único porque podemos ver las transacciones e interacciones de los clientes con las aplicaciones, las funciones de las aplicaciones en sí y la infraestructura en la que residen y a través de la cual se comunican.
La recopilación masiva de datos de F5 con IA más contexto y supervisión humanos en conjunto ayudan a determinar el mejor curso de acción cada vez que se descubren anomalías, vulnerabilidades y exploits. Puede ampliar sus defensas y al mismo tiempo potenciar la productividad mediante menos falsos positivos.
En la práctica, los productos y servicios de F5 ayudan a organizaciones de todo el mundo a prevenir ataques activos a sus aplicaciones. Mitigamos bots, el OWASP Top 10 y muchos otros tipos de ataques. Descubrimos y controlamos APIs. Protegemos la infraestructura de aplicaciones subyacente. Y ayudamos a detener el fraude y la apropiación maliciosa de cuentas de clientes finales. En resumen, tenemos una amplia gama de casos de uso que podemos ayudarle a abordar y proteger.
En las próximas semanas, nos comunicaremos y compartiremos más sobre cómo cumplimos con estos casos de uso, los beneficios que nuestros clientes están obteniendo y por qué creemos que proteger sus aplicaciones y API será obligatorio a medida que el mundo digital impulsado por las aplicaciones evoluciona continuamente.