La proliferación de API a partir de una estructura en constante expansión de puntos finales e integraciones hace que resulte poco práctico para los equipos de seguridad identificar y proteger la lógica empresarial crítica mediante métodos manuales. Las API se distribuyen cada vez más en infraestructuras heterogéneas, incluidos entornos híbridos y multicloud que aprovechan centros de datos, nubes públicas y sitios perimetrales, lo que da como resultado que la lógica empresarial crítica quede expuesta fuera del ámbito de los controles de seguridad centralizados. Además, debido a que los equipos de desarrollo de aplicação se mueven rápidamente para innovar, las llamadas API pueden terminar ocultas en lo profundo de la lógica empresarial y hacer referencia a código inseguro, lo que dificulta su protección. 

Con tanto énfasis en la velocidad de la innovación, la seguridad a menudo queda rezagada. A veces, la seguridad simplemente se pasa por alto en el diseño de las propias API. A menudo, se tiene en cuenta la seguridad, pero la política se configura incorrectamente debido a la complejidad matizada de mantener implementaciones de aplicação que abarcan múltiples nubes y arquitecturas. 

Dado que las API están diseñadas para el intercambio de datos de máquina a máquina, muchas API representan una ruta directa a datos confidenciales, a menudo sin los mismos controles de riesgo que la validación de entrada en formularios web para el usuario. Sin embargo, estos puntos finales están sujetos a los mismos ataques que plagan las aplicaciones web: es decir, explotación de vulnerabilidades, abuso de la lógica empresarial y elusión de los controles de acceso que pueden provocar violaciones de datos, tiempo de inactividad y apropiación de cuentas (ATO).

No solo se deben evaluar los puntos finales de API con los mismos controles de riesgo que las aplicações web (incluido el análisis de código, las pruebas de penetración y el modelado de amenazas para mitigar el riesgo de ataques a la lógica empresarial), sino que también se requieren consideraciones adicionales para mitigar el riesgo no deseado de los puntos finales que están fuera del alcance de los equipos de seguridad o que esencialmente han sido abandonados, como es el caso de las API fantasma y zombi.

Debido a que las API son susceptibles a muchos de los mismos ataques que se sabe que atacan a las aplicações web, los incidentes de seguridad de las API han sido la causa de algunas de las violaciones de datos de más alto perfil. Riesgos como controles de autenticación/autorización débiles, configuración incorrecta, abuso de lógica empresarial y falsificación de solicitudes del lado del servidor (SSRF) afectan tanto a las aplicaciones web como a las API. Las principales preocupaciones son la explotación de vulnerabilidades y el abuso por parte de bots y automatizaciones maliciosas:

• La inyección y los scripts entre sitios (XSS) pueden provocar acceso no autorizado a los datos.
• La denegación de servicio distribuida (DDoS) puede interrumpir servicios críticos que generan ingresos.
• El credential stuffing y otros ataques automatizados pueden provocar vulneración de datos y fraude.

Las aplicações han evolucionado hacia un modelo cada vez más distribuido y descentralizado, en el que las API actúan como interconexión. Las aplicaciones móviles y las integraciones de terceros que aumentan el valor comercial se han convertido en elementos esenciales para competir con éxito en un mundo en línea. La investigación de F5 Labs detalla cómo las API son un objetivo cada vez mayor a medida que más industrias adoptan arquitecturas de aplicação modernas, en parte porque las API están más estructuradas y es más fácil para los atacantes trabajar con ellas.

El riesgo aumenta cuando las API se distribuyen ampliamente sin una estrategia de gobernanza holística. Este riesgo se ve agravado por un proceso de ciclo de vida de las aplicaciones continuo en el que las aplicações y las API cambian constantemente con el tiempo debido a la integración con cadenas de suministro complejas y la automatización a través de canales de CI/CD.

La variedad de interfaces y la exposición potencial a riesgos significa que los equipos de seguridad necesitan proteger la puerta de entrada, así como todas las ventanas que representan los componentes básicos de las aplicaciones modernas y de inteligencia artificial, de forma proactiva, dinámica y continua.

Los avances en el aprendizaje automático permiten descubrir de forma dinámica los puntos finales de las API y mapear automáticamente sus interdependencias, tanto en pruebas como en producción, lo que proporciona una forma práctica de analizar los patrones de comunicación de las API a lo largo del tiempo e identificar las API ocultas o no documentadas que aumentan el riesgo. 

Además, el monitoreo y análisis continuo de puntos finales permiten construir líneas de base de seguridad de forma autónoma, lo que proporciona detección en tiempo real, puntuación de riesgo automatizada y mitigación de usuarios maliciosos sin aumentos innecesarios en la carga de trabajo de su equipo de seguridad.

Esta protección continua y automatizada da como resultado políticas altamente calibradas que pueden aplicarse de manera consistente en todas las arquitecturas, para todas las API, durante todas las etapas del ciclo de vida del desarrollo de software, mitigando exploits, disuadiendo ataques a la lógica empresarial y haciendo cumplir el esquema, el cumplimiento del protocolo y el control de acceso.

Las empresas necesitan modernizar sus aplicaciones heredadas y, al mismo tiempo, desarrollar nuevas experiencias de usuario aprovechando arquitecturas modernas e integraciones de terceros. Una estrategia de gobernanza holística que protege las API desde el núcleo hasta la nube y el borde respalda la transformación digital al tiempo que reduce los riesgos conocidos y desconocidos.

Las soluciones F5 brindan la flexibilidad de operar en cualquier entorno. La visibilidad universal y las protecciones automatizadas basadas en ML maximizan la eficacia y alivian la carga de los equipos de seguridad. F5 puede consolidar soluciones de nicho o de competencia exclusiva y proteger de manera consistente entornos híbridos y multicloud para mejorar la resiliencia y la remediación.

Entre las consideraciones clave para desplegar la seguridad de las API se encuentran:

1. Compatibilidad híbrida y multicloud
   La visibilidad universal y la aplicación consistente de políticas reducen la complejidad, la proliferación de herramientas y el riesgo de configuración incorrecta, y aumentan la velocidad de solución.
   
   
2. Integración con procesos de desarrollo existentes
   Los equipos de seguridad pueden seguir el ritmo del ciclo de vida de las aplicaciones al descubrir riesgos de manera proactiva durante las pruebas e integrar la política de seguridad en los procesos de CI/CD a través de un registro nativo de Terraform.
   
   
3. Modelo de seguridad positiva
   Las soluciones de F5 optimizan las políticas con un modelo de seguridad positivo que aplica el esquema utilizando definiciones de OpenAPI, archivos Swagger y principios de confianza cero.
   
   
4. Defensas automatizadas
   La detección de anomalías basada en ML soluciona vulnerabilidades, abusos de lógica empresarial y denegaciones de servicio sin sobrecargar a los equipos de seguridad con ajustes de políticas en diferentes entornos o falsos positivos excesivos.
   
   
5. Visualizaciones enriquecidas
   Los paneles de seguridad con soporte para explorar en profundidad las líneas de base de uso de API ayudan a los operadores a correlacionar conocimientos y simplificar la respuesta a incidentes.


6. Resiliencia de seguridad
   La telemetría duradera y el aprendizaje automático altamente capacitado permiten una seguridad más eficiente y efectiva que sigue el ritmo de la velocidad de los negocios digitales y mitiga los ataques emergentes de IA adversarios.

Las soluciones de F5 protegen las API en todo el portafolio empresarial al descubrir continuamente y proteger automáticamente la lógica empresarial crítica y las integraciones de terceros en diferentes nubes y arquitecturas. 

Una política de seguridad integral y consistente combinada con defensas resilientes impulsadas por ML permite a las organizaciones alinear la seguridad de la API con la estrategia digital. Esto permite a las empresas mejorar la gestión de riesgos, innovar con confianza y agilizar las operaciones.

Vea F5 Distributed Cloud en acción .