El mercado de la seguridad de las aplicaciones web ha evolucionado para seguir el ritmo de la nueva economía digital. Aunque el firewall de aplicaciones web (WAF) ha demostrado ser una herramienta eficaz para mitigar las vulnerabilidades de las aplicaciones, la proliferación de API y los avances en la sofisticación de los atacantes han provocado la convergencia del WAF, la seguridad de las API, la defensa contra bots y la prevención de los ataques de DDoS en soluciones WAAP para proteger las aplicaciones de los riesgos, el tiempo de inactividad y el fraude.
Un panorama digital altamente competitivo ha llevado a las organizaciones a adoptar un desarrollo de software moderno para adelantarse al mercado, lo que ha dado lugar a ciclos de lanzamiento rápidos para introducir nuevas funciones y a una mezcla de integraciones, interfaces de usuario y APIs de back-end. Aunque no es una debilidad ni un defecto tener un carrito de la compra o un programa de fidelización, los puntos de conexión que facilitan el comercio y la participación de los clientes son un objetivo principal para los atacantes, lo que requiere que toda la interacción con el usuario y la lógica empresarial estén protegidas frente a las vulnerabilidades del software, así como a las vulnerabilidades inherentes que explotan las funciones de inicio de sesión, creación de cuentas y adición alcarrito.
Hoy en día, los clientes tienen una capacidad de elección sin precedentes y poca tolerancia a las malas experiencias. Cualquier incidente de seguridad o fricción a la hora de realizar una transacción puede suponer una pérdida de ingresos e incluso el abandono de la marca.
La nueva economía digital requiere, por tanto, una nueva era en la seguridad de las aplicaciones web para dar rienda suelta a la innovación de forma segura, gestionar eficazmente el riesgo y reducir la complejidad operativa.
La innovación y la adopción generalizadas de la nube han dado lugar a una serie de arquitecturas e interdependencias entre los componentes de las aplicaciones. Las pilas web tradicionales de tres niveles y las aplicaciones heredadas se están adaptando o incluso sustituyendo por aplicaciones modernas que aprovechan la arquitectura descentralizada, como los contenedores y los microservicios, para facilitar la comunicación entre API. Los conjuntos de herramientas nativas de la nube y la continuidad del negocio han impulsado la adopción de múltiples nubes. Las aplicaciones móviles de fácil acceso y las integraciones de API que aceleran el tiempo de comercialización son clave para mantener la ventaja competitiva en un mercado definido por la continua innovación digital.
La descentralización de las arquitecturas, el desarrollo ágil de software y las integraciones de terceros han aumentado la superficie de las amenazas e introducido riesgos desconocidos, por lo que es necesario centrarse de nuevo en los principios de Shift Left , como el modelado de las amenazas y la garantía de que la política de seguridad y control de acceso pueda desplegarse y mantenerse de forma coherente en todas las arquitecturas. Además de mitigar los ataques y los errores de configuración, el departamento de seguridad de la información debe ahora proteger sus conductos CI/CD, asegurar los componentes de código abierto y defender sus aplicaciones de los ataques automatizados que abusan de la lógica empresarial.
Las organizaciones que ofrecen sistemáticamente experiencias digitales seguras conseguirán aumentar los clientes y los ingresos.
Los incidentes de ciberseguridad y la fricción con los clientes son los mayores riesgos para el éxito digital y la ventaja competitiva.
La proliferación de arquitecturas y las interdependencias han ampliado drásticamente la superficie de amenaza para los atacantes sofisticados.
Debido a la complejidad de proteger las aplicaciones web y las API frente a una avalancha constante de exploits y abusos, las plataformas WAAP como servicio en la nube son cada vez más populares. Estas plataformas han surgido de una gran variedad de proveedores, entre los que se encuentran los titulares de las redes de distribución de contenidos (CDN), los pioneros en la entrega de aplicaciones y los proveedores de seguridad que se han expandido a mercados adyacentes mediante adquisiciones. |
La eficacia y la facilidad de uso se citan a menudo como criterios de compra clave para el WAAP, pero son subjetivos y difíciles de verificar durante la selección del proveedor.
Un enfoque más práctico es definir y agrupar las propuestas de valor de WAAP en apuestas seguras, lista de capacidades y diferenciadores para ayudar a las organizaciones a tomar una decisión más consciente.
Apuesta segura | Lista de capacidades | Diferenciadores |
---|---|---|
Fácil incorporación y bajo mantenimiento de la supervisión |
Modelo de seguridad positiva con aprendizaje automatizado
|
Visibilidad y seguridad coherente en todas las aplicaciones y API |
Análisis de seguridad exhaustivos
|
Análisis del comportamiento y detección de anomalías | Tasa máxima de detección (eficacia) |
Sofisticación más allá de las firmas, las normas y la reputación |
Medidas de evasión
|
Tasa mínima de falsos positivos |
Descubrimiento de API y aplicación de políticas |
Reparación de falsos positivos |
Protección transparente que reduce la fricción CX
|
Protección ampliable contra bots y DDoS |
Integración en ecosistemas de seguridad y herramientas DevOps |
Fácil de usar, operar e integrar
|
El mejor WAAP de su clase ayuda a las organizaciones a mejorar su posición de seguridad a la velocidad del negocio, a mitigar los compromisos sin fricción o falsos positivos excesivos, y a reducir la complejidad operativa para ofrecer experiencias digitales seguras a escala. Mejore la posición de seguridad a la velocidad del negocio
Mitigue el compromiso con el mínimo de fricción y falsos positivos
Reduzca la complejidad operativa
|
El mejor WAAP ofrece una seguridad eficaz y fácil de operar en una plataforma distribuida. |
Seguridad efectiva | Plataforma distribuida | Fácil de manejar |
---|---|---|
Mitigación en tiempo real |
Visibilidad entre nubes y arquitecturas
|
Despliegue de autoservicio |
Análisis retrospectivos
|
Seguridad autoajustable
|
|
Baja fricción |
Aplicación coherente de políticas
|
Paneles completos |
Pocos falsos positivos |
Información contextual detallada
|
F5 WAAP se adapta a medida que las aplicaciones y los atacantes evolucionan para asegurar las experiencias de los clientes en la nueva economía digital. |
La seguridad robusta, la inteligencia de amenazas y la detección de anomalías protegen todas las aplicaciones y API frente a exploits, bots y abusos para prevenir el compromiso, la apropiación de cuentas y el fraude en tiempo real. |
Los conocimientos correlacionados a través de múltiples vectores y la evaluación basada en aprendizaje automático de los eventos de seguridad, los fallos de inicio de sesión, los activadores de políticas y los análisis de comportamiento permiten el autoaprendizaje continuo. |
La detección dinámica y la base de políticas permiten la mitigación automática, el ajuste y la corrección de falsos positivos a lo largo del ciclo de vida del desarrollo y la implantación y más allá. |
Las medidas de seguridad autónomas que reaccionan a medida que los atacantes se reajustan engañan y condenan a los delincuentes sin depender de mitigaciones que perturben la experiencia del cliente. |
La política declarativa abstrae la infraestructura subyacente para evitar la desconfiguración y despliega la seguridad a petición cuando se necesita para una protección consistente desde la aplicación hasta el edge. |
Despliegue y mantenimiento impulsado por la API que se integra fácilmente en marcos de desarrollo más amplios, canalizaciones CI/CD y sistemas de gestión de eventos.
Ejemplo de ataques de relleno de credenciales |
Condición | Identificación |
---|---|
Abuso
|
Detección de anomalía
|
Intención
|
Análisis del comportamiento
|
Origen
|
Etapa 1 del aprendizaje automático
|
Evasión
|
Etapa 2 del aprendizaje automático
|