ARTÍCULO

Guía de compra de WAAP

Las amenazas invisibles son ahora mucho menos amenazadoras

CONTENIDO RELACIONADO

Evite los fraudes de apropiación de cuentas y mantenga la confianza de los clientes

eBook: Guía de compra de Web Application and API Protection (WAAP) ›

Aprenda cómo una Web App and API Protection puede preservar la agilidad del negocio y la experiencia del cliente para cambiar la perspectiva de la seguridad de un centro de costes a un diferenciador digital.

Leer el eBook ›

INTRODUCCIÓN

Las nuevas arquitecturas informáticas descentralizadas basadas en nubes, contenedores y API están impulsando una nueva generación de innovación digital. Sin embargo, estos entornos dinámicos y distribuidos también amplían la superficie de las amenazas y aumentan las oportunidades de sufrir ataques, el tiempo de inactividad y el abuso que genera el fraude. Descubra cómo las eficaces soluciones de seguridad protegen las aplicaciones antiguas y modernas frente a los ataques y los abusos, al tiempo que reducen la complejidad operativa y optimizan la experiencia del cliente.

¿Cómo hemos llegado a Web App and API Protection (WAAP)?

El mercado de la seguridad de las aplicaciones web ha evolucionado para seguir el ritmo de la nueva economía digital. Aunque el firewall de aplicaciones web (WAF) ha demostrado ser una herramienta eficaz para mitigar las vulnerabilidades de las aplicaciones, la proliferación de API y los avances en la sofisticación de los atacantes han provocado la convergencia del WAF, la seguridad de las API, la defensa contra bots y la prevención de los ataques de DDoS en soluciones WAAP para proteger las aplicaciones de los riesgos, el tiempo de inactividad y el fraude.

Un panorama digital altamente competitivo ha llevado a las organizaciones a adoptar un desarrollo de software moderno para adelantarse al mercado, lo que ha dado lugar a ciclos de lanzamiento rápidos para introducir nuevas funciones y a una mezcla de integraciones, interfaces de usuario y APIs de back-end. Aunque no es una debilidad ni un defecto tener un carrito de la compra o un programa de fidelización, los puntos de conexión que facilitan el comercio y la participación de los clientes son un objetivo principal para los atacantes, lo que requiere que toda la interacción con el usuario y la lógica empresarial estén protegidas frente a las vulnerabilidades del software, así como a las vulnerabilidades inherentes que explotan las funciones de inicio de sesión, creación de cuentas y adición alcarrito.

Hoy en día, los clientes tienen una capacidad de elección sin precedentes y poca tolerancia a las malas experiencias. Cualquier incidente de seguridad o fricción a la hora de realizar una transacción puede suponer una pérdida de ingresos e incluso el abandono de la marca.

La nueva economía digital requiere, por tanto, una nueva era en la seguridad de las aplicaciones web para dar rienda suelta a la innovación de forma segura, gestionar eficazmente el riesgo y reducir la complejidad operativa.

¿Por qué existe la necesidad apremiante de WAAP?

La innovación y la adopción generalizadas de la nube han dado lugar a una serie de arquitecturas e interdependencias entre los componentes de las aplicaciones. Las pilas web tradicionales de tres niveles y las aplicaciones heredadas se están adaptando o incluso sustituyendo por aplicaciones modernas que aprovechan la arquitectura descentralizada, como los contenedores y los microservicios, para facilitar la comunicación entre API. Los conjuntos de herramientas nativas de la nube y la continuidad del negocio han impulsado la adopción de múltiples nubes. Las aplicaciones móviles de fácil acceso y las integraciones de API que aceleran el tiempo de comercialización son clave para mantener la ventaja competitiva en un mercado definido por la continua innovación digital.

La descentralización de las arquitecturas, el desarrollo ágil de software y las integraciones de terceros han aumentado la superficie de las amenazas e introducido riesgos desconocidos, por lo que es necesario centrarse de nuevo en los principios de Shift Left , como el modelado de las amenazas y la garantía de que la política de seguridad y control de acceso pueda desplegarse y mantenerse de forma coherente en todas las arquitecturas. Además de mitigar los ataques y los errores de configuración, el departamento de seguridad de la información debe ahora proteger sus conductos CI/CD, asegurar los componentes de código abierto y defender sus aplicaciones de los ataques automatizados que abusan de la lógica empresarial.

Crecimiento de clientes e ingresos

Las organizaciones que ofrecen sistemáticamente experiencias digitales seguras conseguirán aumentar los clientes y los ingresos.

Ventaja competitiva

Los incidentes de ciberseguridad y la fricción con los clientes son los mayores riesgos para el éxito digital y la ventaja competitiva.

Ampliación de la superficie de amenaza

La proliferación de arquitecturas y las interdependencias han ampliado drásticamente la superficie de amenaza para los atacantes sofisticados.

¿Qué es un buen WAAP?

Debido a la complejidad de proteger las aplicaciones web y las API frente a una avalancha constante de exploits y abusos, las plataformas WAAP como servicio en la nube son cada vez más populares. Estas plataformas han surgido de una gran variedad de proveedores, entre los que se encuentran los titulares de las redes de distribución de contenidos (CDN), los pioneros en la entrega de aplicaciones y los proveedores de seguridad que se han expandido a mercados adyacentes mediante adquisiciones.

La eficacia y la facilidad de uso se citan a menudo como criterios de compra clave para el WAAP, pero son subjetivos y difíciles de verificar durante la selección del proveedor.

Un enfoque más práctico es definir y agrupar las propuestas de valor de WAAP en apuestas seguras, lista de capacidades y diferenciadores para ayudar a las organizaciones a tomar una decisión más consciente.

     

 

Apuesta segura Lista de capacidades Diferenciadores
Fácil incorporación y bajo mantenimiento de la supervisión

 

Modelo de seguridad positiva con aprendizaje automatizado

 

Visibilidad y seguridad coherente en todas las aplicaciones y API

 

Análisis de seguridad exhaustivos

 

Análisis del comportamiento y detección de anomalías

Tasa máxima de detección (eficacia)

Sofisticación más allá de las firmas, las normas y la reputación

 

Medidas de evasión

 

Tasa mínima de falsos positivos
Descubrimiento de API y aplicación de políticas
Reparación de falsos positivos

Protección transparente que reduce la fricción CX

 

Protección ampliable contra bots y DDoS
Integración en ecosistemas de seguridad y herramientas DevOps

 

 

Fácil de usar, operar e integrar

 

 

 

¿Qué hace que un WAAP sea el mejor?

El mejor WAAP de su clase ayuda a las organizaciones a mejorar su posición de seguridad a la velocidad del negocio, a mitigar los compromisos sin fricción o falsos positivos excesivos, y a reducir la complejidad operativa para ofrecer experiencias digitales seguras a escala.

Mejore la posición de seguridad a la velocidad del negocio

  • Integración de distribución CI/CD
  • Descubrimiento y aplicación de API dinámicas
  • Protección automatizada y seguridad adaptable

Mitigue el compromiso con el mínimo de fricción y falsos positivos

  • Mitigación en tiempo real y análisis retrospectivos
  • Detección precisa sin estrictos problemas de seguridad
  • Resistencia durante el reequipamiento, la ampliación y la evasión de los atacantes

Reduzca la complejidad operativa

  • Mitigar el riesgo de la «sombra TI» y de las integraciones de terceros
  • Agilizar la seguridad en el centro de datos, las nubes y los microservicios
  • Eliminar las limitaciones de la CDN, la nube y la arquitectura para desplegar la seguridad a la carta

El mejor WAAP ofrece una seguridad eficaz y fácil de operar en una plataforma distribuida.

     

Seguridad efectiva Plataforma distribuida Fácil de manejar
Mitigación en tiempo real  

 

Visibilidad entre nubes y arquitecturas

 

Despliegue de autoservicio

 

Análisis retrospectivos

 

 

 

Seguridad autoajustable

 

Baja fricción

 

Aplicación coherente de políticas

 

Paneles completos
Pocos falsos positivos

 

Información contextual detallada

 

 

La ventaja de usar F5 WAAP

F5 WAAP se adapta a medida que las aplicaciones y los atacantes evolucionan para asegurar las experiencias de los clientes en la nueva economía digital.

Mitigación en tiempo real

La seguridad robusta, la inteligencia de amenazas y la detección de anomalías protegen todas las aplicaciones y API frente a exploits, bots y abusos para prevenir el compromiso, la apropiación de cuentas y el fraude en tiempo real.

Análisis retrospectivos

Los conocimientos correlacionados a través de múltiples vectores y la evaluación basada en aprendizaje automático de los eventos de seguridad, los fallos de inicio de sesión, los activadores de políticas y los análisis de comportamiento permiten el autoaprendizaje continuo.

Protección automatizada

La detección dinámica y la base de políticas permiten la mitigación automática, el ajuste y la corrección de falsos positivos a lo largo del ciclo de vida del desarrollo y la implantación y más allá.

Seguridad adaptativa

Las medidas de seguridad autónomas que reaccionan a medida que los atacantes se reajustan engañan y condenan a los delincuentes sin depender de mitigaciones que perturben la experiencia del cliente.

Plataforma distribuida

La política declarativa abstrae la infraestructura subyacente para evitar la desconfiguración y despliega la seguridad a petición cuando se necesita para una protección consistente desde la aplicación hasta el edge.

Integración de ecosistemas

Despliegue y mantenimiento impulsado por la API que se integra fácilmente en marcos de desarrollo más amplios, canalizaciones CI/CD y sistemas de gestión de eventos.

Ejemplo de ataques de relleno de credenciales

 

Condición Identificación

 

Abuso

 

 

Detección de anomalía

 

 

Intención

 

 

Análisis del comportamiento

 

 

Origen

 

 

Etapa 1 del aprendizaje automático

 

 

Evasión

 

 

Etapa 2 del aprendizaje automático

 

Playbook de Credential Stuffing


Más información

ARTÍCULO

El estado del estado de los exploits de aplicaciones en los incidentes de seguridad

Descubra y profundice en el panorama de la seguridad de las aplicaciones para saber por qué las organizaciones deben cambiar rápidamente para evitar que los ciberdelincuentes pongan en peligro la empresa

INFORME

Informe sobre el estado de las estrategias de aplicación

Descubra por qué la rápida transformación digital convierte la estrategia de aplicaciones en un imperativo empresarial.

EBOOK

Cómo elegir el WAF adecuado para usted: una guía paso a paso

Descubra por qué todas las aplicaciones, independientemente de su arquitectura o modelo de despliegue, necesitan protección para mitigar el riesgo empresarial y obtenga más información sobre las consideraciones importantes a la hora de elegir un WAF.

SIMULADORES

Simuladores de F5 Distributed Cloud

Explore los servicios de F5 Distributed Cloud y aprenda a proteger las aplicaciones y las API desde el core hasta el edge.