Luttez contre la fraude par prise de contrôle de compte grâce à la sécurité des API en temps réel

Alors que les organisations sont confrontées à la réalité des incidents de sécurité basés sur les API , beaucoup recherchent des approches simples et pratiques pour anticiper les menaces sans détruire leurs flux de travail opérationnels. Ils demandent : « Quelles mesures prenons-nous pour analyser le trafic des API, détecter les robots et les abus, et empêcher les accès non autorisés qui pourraient entraîner une fraude ou un vol de données ? »

Récemment, plusieurs développeurs d'applications et experts en sécurité ont rejoint F5 et Google Cloud pour une conversation axée sur la lutte contre la menace de prise de contrôle de compte qui peut faire des ravages à travers les nombreuses API de leurs applications.

Ce webinaire, Thwart the Account Takeover Menace – Join the API Security Conversation , a été conçu pour aider les équipes DevOps et InfoSec à unir leurs forces pour relever avec succès ces défis de sécurité des API. Sujets abordés :

• Le paysage actuel des menaces ciblant les API
• Pourquoi les techniques de détection de robots héritées sont devenues inefficaces
• Moyens d’atténuer les dommages potentiels à la marque et à la réputation

Si vous n'avez pas pu assister à la session en direct, ne vous inquiétez pas ; vous pouvez retrouver certains des moments forts dans cet article de blog et également accéder à l' enregistrement à la demande .

Au fur et à mesure que la conversation se déroulait, notre panel a partagé comment les API peuvent créer des risques de sécurité et ce que les organisations peuvent faire pour empêcher les prises de contrôle de compte basées sur les API. Ils ont souligné que la surface d’attaque numérique s’est développée de manière exponentielle en raison du grand nombre d’API désormais utilisées, et que de nombreuses organisations manquent tout simplement de la visibilité nécessaire pour une protection efficace. Pour obtenir une visibilité adéquate, nos experts ont encouragé les organisations à répondre aux questions suivantes :

• Quelles API existent dans notre environnement ?
• À quelles ressources peuvent accéder ces API ?
• Qui utilise les API ?
• Quelles vulnérabilités commerciales spécifiques sont exposées par ces API ?

Pour lutter efficacement contre les cybermenaces activées par les API , les organisations doivent trouver les meilleurs moyens pour que leurs équipes DevOps, InfoSec et commerciales se réunissent pour mettre en œuvre des protections avant que les mauvais acteurs ne réussissent dans leurs tentatives de prise de contrôle des comptes utilisateurs. Un programme de cybersécurité efficace nécessite une stratégie globale qui comprend les bons outils et renseignements, un plan interfonctionnel solide, une collaboration d’équipe efficace, la capacité d’évaluer et de mesurer les progrès et la posture, et la confiance nécessaire pour rendre compte honnêtement à la direction et à l’organisation dans son ensemble du fonctionnement de la stratégie.

Pour améliorer les défenses, nos experts recommandent d’ajouter des protections lors du développement et de la livraison des applications et d’intégrer une surveillance en temps réel après la livraison, ce qui permet aux équipes de réagir rapidement avant qu’un événement terrible ne se produise. Cette approche complète et multicouche permet la capture évolutive d’un mélange de trafic réseau multicloud et de données d’applications et d’API distribuées tout en distinguant automatiquement les bons et les mauvais comportements et activités.

En fin de compte, la sécurité des API se résume à obtenir la meilleure visibilité possible et à disposer d’une intelligence d’exécution en temps réel pour gérer correctement chaque scénario.

Les discussions tenues au cours du webinaire ont souligné que de nombreux experts DevOps et InfoSec comprennent déjà l'importance de la sécurité des API et reconnaissent la valeur de l'équilibre entre une expérience client fluide et une protection avancée contre la prise de contrôle automatisée des comptes par des robots. Mais même si cette reconnaissance existe, nombreux sont ceux qui peinent encore à trouver des moyens efficaces et évolutifs pour relever ces défis.

Pour répondre à ces difficultés, le panel a présenté quelques cas d’utilisation et études de cas mettant en évidence les meilleures pratiques pour communiquer avec les principales parties prenantes responsables de la protection de la croissance pilotée par les applications que leurs organisations attendent. Ces tactiques incluent la pose de questions stratégiques et ciblées telles que :

Développement d'applications : Comment sécurisez-vous actuellement les API contre les attaques de prise de contrôle de compte ? Comment garantissez-vous que les API n’exposent pas les données des clients ou ne créent pas de risques de conformité ?

Opérations de sécurité : Avez-vous une visibilité complète sur les comptes qui peuvent être vulnérables ? Êtes-vous en mesure de surveiller le trafic API pour détecter des signes d’abus ou de compromission ?

Opérations de réseau : Comment sécurisez-vous le trafic API sur votre infrastructure réseau ? Avez-vous des inquiétudes concernant des robots ou des scripts malveillants abusant des API ?

Gestion d'entreprise : La sécurité des comptes est essentielle pour maintenir la confiance des clients et éviter les pertes de revenus dues à des transactions frauduleuses. Quelles mesures suivez-vous concernant les violations ?

La plupart des menaces pilotées par API sont désormais automatisées, s’adaptant rapidement aux changements dynamiques de l’environnement et évoluant pour devenir encore plus intelligentes pour contourner les protections et éviter la détection. Une sécurité efficace des API dépend de la capacité d'une organisation à intégrer des protections avancées et automatisées dans son pipeline d'intégration continue/livraison continue (CI/CD), ses opérations, son infrastructure et ses flux de travail sans introduire de friction dans le processus de livraison ou l'expérience utilisateur.

Google Cloud et F5 disposent des solutions et de l'expertise nécessaires pour aider les organisations à lutter contre la fraude par prise de contrôle de compte de manière unifiée dans tous les environnements : centres de données, clouds et architectures. Les protections d'API d'exécution en temps réel permettent aux équipes DevOps et InfoSec de se réunir plus facilement pour :

• Détecter automatiquement les points de terminaison mappés aux applications
• Définir et appliquer des listes d'autorisation ou de refus pour les connexions indésirables
• Analyser la télémétrie du réseau, des appareils et de l'environnement
• Détecter les comportements anormaux en temps réel

Nous vous invitons à en savoir plus sur les défis de sécurité des API rencontrés par d'autres et les solutions qu'ils ont employées en accédant à l'enregistrement complet à la demande du webinaire, Thwart the Account Takeover Menace – Join the API Security Conversation . Nous sommes convaincus que vous trouverez des réponses à bon nombre de vos questions concernant vos propres mesures de protection contre la prise de contrôle de compte lorsque vous cherchez à définir et à mettre en œuvre un programme de sécurité API plus efficace.

Si vous avez des questions supplémentaires, nous serons ravis de poursuivre notre conversation. Contactez l'un des experts en protection des API de notre équipe F5 Distributed Cloud et assurez-vous d'essayer le simulateur F5 Distributed Cloud Web App and API Protection (WAAP) ici : https://simulator.f5.com/s/waap