La expansión de API a partir de una estructura de puntos finales e integraciones en constante expansión hace que no sea práctico para los equipos de seguridad identificar y proteger la lógica empresarial crítica utilizando métodos manuales. Las API se distribuyen cada vez más en infraestructuras heterogéneas, incluidos entornos híbridos y de múltiples nubes, lo que da como resultado que la lógica empresarial crítica quede expuesta fuera del ámbito de los controles de seguridad centralizados. Además, debido a que los equipos de desarrollo de aplicaciones se mueven rápidamente para innovar, las llamadas API pueden terminar ocultas en lo más profundo de la lógica empresarial, lo que dificulta su identificación. 

Con tal énfasis en la velocidad de la innovación, la seguridad a menudo queda atrás. A veces, la seguridad simplemente se pasa por alto en el diseño de las API. A menudo se tiene en cuenta la seguridad, pero la política se configura mal debido a la complejidad matizada de mantener implementaciones de aplicaciones que abarcan múltiples nubes y arquitecturas. 

Dado que las API están diseñadas para el intercambio de datos de máquina a máquina, muchas API representan una ruta directa a datos confidenciales, a menudo sin los mismos controles de riesgo que la validación de entradas en los formularios web de cara al usuario. Sin embargo, estos puntos finales están sujetos a los mismos ataques que afectan a las aplicaciones web: es decir, vulnerabilidades, abuso de la lógica empresarial y elusión de los controles de acceso que pueden provocar filtración de datos, tiempo de inactividad y apropiación de cuentas (ATO).

Los puntos finales API no solo deben evaluarse con los mismos controles de riesgo que las aplicaciones web, sino que también se requieren consideraciones adicionales para mitigar el riesgo no deseado de los puntos finales que están fuera del alcance de los equipos de seguridad o que esencialmente han sido abandonados, como es el caso de las API sombra y zombi. 

Debido a que las API son susceptibles a muchos de los mismos ataques que se atacan a las aplicaciones web, los incidentes de seguridad de las API han sido la causa de algunas de las violaciones de datos de más alto perfil. Riesgos como controles débiles de autenticación/autorización, mala configuración, abuso de la lógica empresarial y falsificación de solicitudes del lado del servidor (SSRF) afectan tanto a las aplicaciones web como a las API. Las vulnerabilidades y el abuso por parte de bots y la automatización maliciosa son las principales preocupaciones:

• La inyección y las secuencias de comandos entre sitios (XSS) pueden provocar un acceso no autorizado a los datos.
• La denegación de servicio distribuido (DDoS) puede interrumpir servicios críticos que generan ingresos.
• El relleno de credenciales y otros ataques automatizados pueden provocar riesgos, filtraciones de datos y fraude.

Las aplicaciones han avanzado hacia un modelo cada vez más distribuido y descentralizado, con las API sirviendo de interconexión. Las aplicaciones móviles y las integraciones de terceros que aumentan el valor empresarial se han convertido en algo fundamental para competir con éxito en un mundo online. La investigación de F5 Labs detalla cómo las API son un objetivo cada vez mayor a medida que más industrias adoptan arquitecturas de aplicaciones modernas, en parte porque las API están más estructuradas y son más fáciles de trabajar para los atacantes.

El riesgo aumenta cuando las API se distribuyen ampliamente sin una estrategia de gobernanza integral. Este riesgo se ve exacerbado por un proceso continuo del ciclo de vida de las aplicaciones en el que las aplicaciones y las API cambian constantemente con el tiempo debido a la integración con cadenas de suministro complejas y la automatización a través de canales de CI/CD.

La variedad de interfaces y la posible exposición a riesgos significa que los equipos de seguridad deben proteger la puerta de entrada, así como todas las ventanas que representan los componentes básicos de las aplicaciones modernas.

Los avances en el aprendizaje automático hacen posible descubrir dinámicamente puntos finales de API y mapear automáticamente sus interdependencias, proporcionando una forma práctica de analizar patrones de comunicación de API a lo largo del tiempo e identificar API ocultas o no documentadas que aumentan el riesgo. 

Además, el monitoreo y análisis continuos de endpoints permiten construir bases de seguridad de forma autónoma, lo que proporciona detección en tiempo real, puntuación de riesgos automatizada y mitigación de usuarios malintencionados sin aumentos innecesarios en la carga de trabajo de su equipo de seguridad.

Esta protección continua y automatizada da como resultado políticas altamente calibradas que se pueden aplicar de manera consistente en todas las arquitecturas para todas las API, mitigando vulnerabilidades, disuadiendo bots y abusos, y aplicando esquemas, cumplimiento de protocolos y control de acceso.

Las empresas necesitan modernizar sus aplicaciones heredadas y al mismo tiempo desarrollar nuevas experiencias de usuario aprovechando arquitecturas modernas e integraciones de terceros. Una estrategia de gobernanza holística que proteja las API desde el núcleo hasta la nube y el borde respalda la transformación digital al tiempo que reduce los riesgos conocidos y desconocidos.

Las soluciones F5 brindan la flexibilidad para operar en cualquier entorno. La visibilidad universal y las protecciones automatizadas basadas en ML maximizan la eficacia y descargan a los equipos de seguridad. F5 puede consolidar soluciones exclusivas/de nicho y proteger de manera consistente entornos híbridos y de múltiples nubes para mejorar la resiliencia y la remediación.

Las consideraciones clave para implementar la seguridad de API incluyen:

1. Compatibilidad con nubes híbridas y múltiples
   La visibilidad universal y la aplicación coherente de políticas reducen la complejidad, la dispersión de herramientas y el riesgo de configuración incorrecta, y aumentan la velocidad de reparación.
   
   
2. Integración con procesos de desarrollo existentes
   Los equipos de seguridad pueden seguir el ritmo del ciclo de vida de la aplicación integrando la política de seguridad en las canalizaciones de CI/CD a través de un registro terraform nativo.
   
   
3. Modelo de seguridad positivo
   Las soluciones de F5 agilizan las políticas con un modelo de seguridad positivo que aplica el esquema mediante definiciones de OpenAPI, archivos Swagger y principios de confianza cero.
   
   
4. Defensas automatizadas
   La detección de anomalías basada en ML corrige las vulnerabilidades, el abuso de la lógica empresarial y la denegación de servicio sin sobrecargar a los equipos de seguridad con el ajuste de políticas en todos los entornos. o excesivos falsos positivos.
   
   
5. Visualizaciones enriquecidas
   Paneles de seguridad con soporte detallado de las líneas base de uso de API ayudan a los operadores a correlacionar conocimientos y simplificar la respuesta a incidentes.


6. Resiliencia de seguridad
   La telemetría duradera y el aprendizaje automático altamente entrenado permiten una seguridad más eficiente y eficaz que sigue el ritmo de la velocidad de los negocios digitales y mitiga los ataques emergentes de IA adversaria.

Las soluciones de F5 protegen las API en toda la cartera de la empresa mediante el descubrimiento continuo y la protección automática de la lógica empresarial crítica y las integraciones de terceros en todas las nubes y arquitecturas. 

Una política de seguridad integral y coherente, junto con defensas resistentes impulsadas por ML, permite a las organizaciones alinear la seguridad de API con la estrategia digital. Esto permite a las empresas mejorar la gestión de riesgos, innovar con confianza y optimizar las operaciones.

Vea F5 Distributed Cloud en acción.