ARTÍCULO
Guía de compra de WAAP
Las amenazas invisibles son ahora mucho menos amenazadoras
CONTENIDO RELACIONADO
eBook: Guía de compra de Web Application and API Protection (WAAP) ›
Aprenda cómo una Web App and API Protection puede preservar la agilidad del negocio y la experiencia del cliente para cambiar la perspectiva de la seguridad de un centro de costes a un diferenciador digital.
INTRODUCCIÓN
Las nuevas arquitecturas informáticas descentralizadas basadas en nubes, contenedores y API están impulsando una nueva generación de innovación digital. Sin embargo, estos entornos dinámicos y distribuidos también amplían la superficie de las amenazas y aumentan las oportunidades de sufrir ataques, el tiempo de inactividad y el abuso que genera el fraude. Descubra cómo las eficaces soluciones de seguridad protegen las aplicaciones antiguas y modernas frente a los ataques y los abusos, al tiempo que reducen la complejidad operativa y optimizan la experiencia del cliente.
¿Cómo hemos llegado a Web App and API Protection (WAAP)?
El mercado de la seguridad de las aplicaciones web ha evolucionado para seguir el ritmo de la nueva economía digital. Aunque el firewall de aplicaciones web (WAF) ha demostrado ser una herramienta eficaz para mitigar las vulnerabilidades de las aplicaciones, la proliferación de API y los avances en la sofisticación de los atacantes han provocado la convergencia del WAF, la seguridad de las API, la defensa contra bots y la prevención de los ataques de DDoS en soluciones WAAP para proteger las aplicaciones de los riesgos, el tiempo de inactividad y el fraude.
Un panorama digital altamente competitivo ha llevado a las organizaciones a adoptar un desarrollo de software moderno para adelantarse al mercado, lo que ha dado lugar a ciclos de lanzamiento rápidos para introducir nuevas funciones y a una mezcla de integraciones, interfaces de usuario y APIs de back-end. Aunque no es una debilidad ni un defecto tener un carrito de la compra o un programa de fidelización, los puntos de conexión que facilitan el comercio y la participación de los clientes son un objetivo principal para los atacantes, lo que requiere que toda la interacción con el usuario y la lógica empresarial estén protegidas frente a las vulnerabilidades del software, así como a las vulnerabilidades inherentes que explotan las funciones de inicio de sesión, creación de cuentas y adición alcarrito.
Hoy en día, los clientes tienen una capacidad de elección sin precedentes y poca tolerancia a las malas experiencias. Cualquier incidente de seguridad o fricción a la hora de realizar una transacción puede suponer una pérdida de ingresos e incluso el abandono de la marca.
La nueva economía digital requiere, por tanto, una nueva era en la seguridad de las aplicaciones web para dar rienda suelta a la innovación de forma segura, gestionar eficazmente el riesgo y reducir la complejidad operativa.
¿Por qué existe la necesidad apremiante de WAAP?
La innovación y la adopción generalizadas de la nube han dado lugar a una serie de arquitecturas e interdependencias entre los componentes de las aplicaciones. Las pilas web tradicionales de tres niveles y las aplicaciones heredadas se están adaptando o incluso sustituyendo por aplicaciones modernas que aprovechan la arquitectura descentralizada, como los contenedores y los microservicios, para facilitar la comunicación entre API. Los conjuntos de herramientas nativas de la nube y la continuidad del negocio han impulsado la adopción de múltiples nubes. Las aplicaciones móviles de fácil acceso y las integraciones de API que aceleran el tiempo de comercialización son clave para mantener la ventaja competitiva en un mercado definido por la continua innovación digital.
La descentralización de las arquitecturas, el desarrollo ágil de software y las integraciones de terceros han aumentado la superficie de las amenazas e introducido riesgos desconocidos, por lo que es necesario centrarse de nuevo en los principios de Shift Left , como el modelado de las amenazas y la garantía de que la política de seguridad y control de acceso pueda desplegarse y mantenerse de forma coherente en todas las arquitecturas. Además de mitigar los ataques y los errores de configuración, el departamento de seguridad de la información debe ahora proteger sus conductos CI/CD, asegurar los componentes de código abierto y defender sus aplicaciones de los ataques automatizados que abusan de la lógica empresarial.
Crecimiento de clientes e ingresos
Las organizaciones que ofrecen sistemáticamente experiencias digitales seguras conseguirán aumentar los clientes y los ingresos.
Ventaja competitiva
Los incidentes de ciberseguridad y la fricción con los clientes son los mayores riesgos para el éxito digital y la ventaja competitiva.
Ampliación de la superficie de amenaza
La proliferación de arquitecturas y las interdependencias han ampliado drásticamente la superficie de amenaza para los atacantes sofisticados.
¿Qué es un buen WAAP?
Debido a la complejidad de proteger las aplicaciones web y las API frente a una avalancha constante de exploits y abusos, las plataformas WAAP como servicio en la nube son cada vez más populares. Estas plataformas han surgido de una gran variedad de proveedores, entre los que se encuentran los titulares de las redes de distribución de contenidos (CDN), los pioneros en la entrega de aplicaciones y los proveedores de seguridad que se han expandido a mercados adyacentes mediante adquisiciones. |
La eficacia y la facilidad de uso se citan a menudo como criterios de compra clave para el WAAP, pero son subjetivos y difíciles de verificar durante la selección del proveedor.
Un enfoque más práctico es definir y agrupar las propuestas de valor de WAAP en apuestas seguras, lista de capacidades y diferenciadores para ayudar a las organizaciones a tomar una decisión más consciente.
| Apuesta segura | Lista de capacidades | Diferenciadores |
|---|---|---|
| Fácil incorporación y bajo mantenimiento de la supervisión |
Modelo de seguridad positiva con aprendizaje automatizado
|
Visibilidad y seguridad coherente en todas las aplicaciones y API |
Análisis de seguridad exhaustivos
|
Análisis del comportamiento y detección de anomalías | Tasa máxima de detección (eficacia) |
| Sofisticación más allá de las firmas, las normas y la reputación |
Medidas de evasión
|
Tasa mínima de falsos positivos |
| Descubrimiento de API y aplicación de políticas |
Reparación de falsos positivos |
Protección transparente que reduce la fricción CX
|
| Protección ampliable contra bots y DDoS |
Integración en ecosistemas de seguridad y herramientas DevOps |
Fácil de usar, operar e integrar
|
¿Qué hace que un WAAP sea el mejor?
El mejor WAAP de su clase ayuda a las organizaciones a mejorar su posición de seguridad a la velocidad del negocio, a mitigar los compromisos sin fricción o falsos positivos excesivos, y a reducir la complejidad operativa para ofrecer experiencias digitales seguras a escala. Mejore la posición de seguridad a la velocidad del negocio
Mitigue el compromiso con el mínimo de fricción y falsos positivos
Reduzca la complejidad operativa
|
El mejor WAAP ofrece una seguridad eficaz y fácil de operar en una plataforma distribuida. |
| Seguridad efectiva | Plataforma distribuida | Fácil de manejar |
|---|---|---|
| Mitigación en tiempo real |
Visibilidad entre nubes y arquitecturas
|
Despliegue de autoservicio |
Análisis retrospectivos
|
Seguridad autoajustable
|
|
| Baja fricción |
Aplicación coherente de políticas
|
Paneles completos |
| Pocos falsos positivos |
Información contextual detallada
|
La ventaja de usar F5 WAAP
F5 WAAP se adapta a medida que las aplicaciones y los atacantes evolucionan para asegurar las experiencias de los clientes en la nueva economía digital. |
Mitigación en tiempo real
La seguridad robusta, la inteligencia de amenazas y la detección de anomalías protegen todas las aplicaciones y API frente a exploits, bots y abusos para prevenir el compromiso, la apropiación de cuentas y el fraude en tiempo real. |
Análisis retrospectivos
Los conocimientos correlacionados a través de múltiples vectores y la evaluación basada en aprendizaje automático de los eventos de seguridad, los fallos de inicio de sesión, los activadores de políticas y los análisis de comportamiento permiten el autoaprendizaje continuo. |
Protección automatizada
La detección dinámica y la base de políticas permiten la mitigación automática, el ajuste y la corrección de falsos positivos a lo largo del ciclo de vida del desarrollo y la implantación y más allá. |
Seguridad adaptativa
Las medidas de seguridad autónomas que reaccionan a medida que los atacantes se reajustan engañan y condenan a los delincuentes sin depender de mitigaciones que perturben la experiencia del cliente. |
Plataforma distribuida
La política declarativa abstrae la infraestructura subyacente para evitar la desconfiguración y despliega la seguridad a petición cuando se necesita para una protección consistente desde la aplicación hasta el edge. |
Integración de ecosistemas
Despliegue y mantenimiento impulsado por la API que se integra fácilmente en marcos de desarrollo más amplios, canalizaciones CI/CD y sistemas de gestión de eventos.
Ejemplo de ataques de relleno de credenciales |
| Condición | Identificación |
|---|---|
Abuso
|
Detección de anomalía
|
Intención
|
Análisis del comportamiento
|
Origen
|
Etapa 1 del aprendizaje automático
|
Evasión
|
Etapa 2 del aprendizaje automático
|
Playbook de Credential Stuffing
