¿Qué es la Web App and API Protection?
Web App and API Protection (WAAP) se refiere a un conjunto integrado de servicios de seguridad que trabajan juntos para mitigar los riesgos de seguridad de las API y las aplicaciones web.
Las soluciones WAAP protegen contra los riesgos de seguridad de las aplicaciones derivados de los exploits, los bots, los ataques automatizados, la denegación de servicio, el fraude y el abuso, y las integraciones poco seguras de API de terceros.
Los controles de seguridad integrados permiten a las organizaciones mejorar la visibilidad con información útil que puede detener ataques específicos, así como identificar campañas de amenazas coordinadas que abarcan múltiples vectores de amenaza.
Atraer a los clientes con experiencias digitales atractivas y seguras es un imperativo empresarial y un objetivo clave para los líderes de seguridad y riesgo. El cálculo de riesgo/recompensa que intenta equilibrar la seguridad y la usabilidad nunca ha sido tan difícil, importante o lucrativo como ahora en la economía digital moderna.
Las opciones sin precedentes, la escasa tolerancia de los clientes a las fricciones o los fallos, y las crecientes implicaciones normativas están cambiando la perspectiva de la seguridad, que ha pasado de ser un centro de costes a un diferenciador digital competitivo. Además, las aplicaciones están cada vez más descentralizadas y distribuidas, desplegadas a través de arquitecturas heterogéneas y multinube, e integradas dentro de complejas cadenas de suministro de software y distribuciones CI/CD.
Figura 1: las aplicaciones están cada vez más descentralizadas y distribuidas
La creciente sofisticación de los bots y los ataques automatizados, así como la proliferación de los puntos de conexión de las API debido al aumento del uso de las aplicaciones móviles y el desarrollo de las aplicaciones modernas, amplían drásticamente la superficie de las amenazas e introducen riesgos imprevistos en las integraciones de terceros.
El ciclo de vida de los ataques industrializados comienza con la automatización y termina con la apropiación de cuentas y el fraude.
Figura 2: los ataques a las aplicaciones son persistentes y sofisticados
Una solución WAAP representa la evolución del mercado de WAF hacia áreas adyacentes, concretamente la gestión de bots, la seguridad de las API y la mitigación de los ataques de DDoS.
Un WAF que se integra con centros de depuración de DDoS basados en la nube se calificaba como WAAP, tanto si el WAF era un dispositivo hardware o virtual en un centro de datos, una nube privada o una nube pública. Sin embargo, el mercado se encuentra en un punto de inflexión en el que muchas organizaciones preferirán plataformas WAAP basadas en la nube, en forma de seguridad como servicio.
Hay varios factores que están aumentando el interés por las plataformas WAAP basadas en la nube:
- La necesidad de una tecnología especializada en la gestión de bots para disuadir el fraude y el abuso
- Controles de detección y aplicación de API que puedan mitigar el riesgo de las integraciones de terceros
- Mantenimiento continuo de políticas a través de API, marcos de desarrollo y distribuciones CI/CD
- Protecciones automatizadas y remediación de falsos positivos mediante IA de origen humano
Los WAF basados en dispositivos, que se integran con los servicios de seguridad basados en la nube centrados en los resultados empresariales, seguirán siendo opciones viables, incluso preferidas, en sectores muy regulados como el de la banca y los servicios financieros (BFSI).
Las soluciones WAAP mitigan el riesgo de compromiso, la exfiltración de datos, la apropiación de cuentas y el tiempo de inactividad de las aplicaciones mediante la integración de varios controles de seguridad para proteger las aplicaciones, entre ellos:
- Web Application Firewall (WAF)
- Bot Management
- Seguridad de API
- Mitigación DDoS
Las soluciones WAAP están disponibles en varios factores de forma:
- Dispositivos WAF físicos/virtuales que se integran con servicios de seguridad basados en la nube
- Instancias WAF basadas en microservicios que se integran con servicios de seguridad basados en la nube
- Plataformas WAAP basadas en la nube con controles de seguridad WAF, Bot, API y DDoS integrados
Las soluciones WAAP también incluyen seguridad del lado del cliente para detectar scripts maliciosos/skimming (como los ataques de Magecart), controles de seguridad para evitar ataques a través de agregadores maliciosos y protección de cuentas que evitan los ataques de apropiación de cuentas por fraude manual.
Las soluciones de Application Infrastructure Protection (AIP) refuerzan aún más la seguridad de las aplicaciones y mejoran la corrección mediante el descubrimiento dinámico de vulnerabilidades y la seguridad de las cargas de trabajo en la nube, lo que evita la explotación y el abuso de la infraestructura subyacente mediante la integración con los controles WAAP.
F5 Distributed Cloud WAAP se adapta de forma nativa a cualquier arquitectura, nube y modelo operativo, proporcionando a los equipos de seguridad y riesgos una visibilidad universal y una aplicación de políticas coherente para proteger las aplicaciones heredadas y modernas desde el núcleo hasta la nube y el borde. Las soluciones Distributed Cloud WAAP ofrecen flexibilidad y capacidad de elección con respecto al modelo de implementación y al modelo operativo.
Una observabilidad sin precedentes, junto con un gran lago de datos del mundo real y algoritmos de aprendizaje automático, permite a los clientes de F5 adoptar servicios de valor añadido (VAS) basados en la IA, por ejemplo, la inteligencia de autenticación, que optimizan las transacciones legítimas de los clientes, lo que mejora la personalización y acaba con la fricción para aumentar la retención, la conversión y la fidelidad.
Figura 3: plataforma F5 Distributed Cloud Web App and API Protection
