Qu’est-ce que Web App and API Protection (WAAP) ?

La Web App and API Protection (WAAP) désigne un ensemble intégré de services de sécurité qui fonctionnent ensemble pour atténuer les risques de sécurité liés aux API et aux applications Web.

Signification de WAAP

Les solutions WAAP protègent contre les risques de sécurité des applications liés à l’exploitation des vulnérabilités, aux robots, aux attaques automatisées, aux dénis de service, aux fraudes et aux abus, ainsi qu’aux intégrations d’API tierces non sécurisées.

Les contrôles de sécurité intégrés permettent aux organisations d’améliorer leur visibilité grâce à des informations exploitables capables d’arrêter des attaques spécifiques et d’identifier des campagnes de menaces coordonnées couvrant plusieurs vecteurs de menaces.

Pourquoi la Web App and API Protection (WAAP) est-elle si importante ?

Faire vivre aux clients des expériences numériques attrayantes et sécurisées est un impératif commercial et une priorité pour les responsables de la sécurité et des risques. Le calcul bénéfice-risque, qui tente d’équilibrer sécurité et convivialité, n’a jamais été aussi délicat, crucial et lucratif que dans l’économie numérique moderne.

Un éventail de choix sans précédent, la faible tolérance des clients aux frictions ou aux échecs, et des implications réglementaires croissantes changent la perspective de la sécurité : jusque-là poste de coûts, elle est aujourd’hui un différenciateur numérique compétitif. En outre, les applications sont de plus en plus décentralisées et distribuées, déployées dans des architectures hétérogènes et multi-clouds, et intégrées dans des chaînes d’approvisionnement logicielles complexes et des pipelines CI/CD.

Figure 1 : Les applications sont de plus en plus décentralisées et distribuées

La sophistication croissante des robots et des attaques automatisées, ainsi que la prolifération des points de terminaison d’API due à l’utilisation accrue des applications mobiles et au développement d’applications modernes, élargissent considérablement la surface d’attaque et introduisent un risque imprévu lié aux intégrations tierces.

Le cycle de vie d’une attaque industrialisée commence par l’automatisation et se termine par la prise de contrôle du compte et la fraude.



Figure 2 : Les attaques d’applications sont persistantes et sophistiquées

 

Les solutions WAAP représentent l’évolution du marché du WAF vers des domaines adjacents, notamment la gestion des robots, la sécurité des API et l’atténuation des DDoS.

Un WAF qui s’intègre à des centres d’épuration DDoS basés sur le cloud est historiquement qualifié de WAAP, que le WAF soit un équipement matériel ou virtuel dans un centre de données, un cloud privé ou un cloud public. Cependant, le marché est à un point d’inflexion où de nombreuses organisations préféreront les plateformes WAAP basées sur le cloud, sous forme de sécurité en tant que service.

Plusieurs facteurs accroissent l’intérêt pour les plateformes WAAP basées sur le cloud :

  1. La nécessité d’une technologie spécialisée dans le bot management (gestion des robots) afin de prévenir la fraude et les abus
  2. Des contrôles de découverte et d’application des API qui peuvent atténuer les risques liés aux intégrations de tiers
  3. La maintenance continue des politiques via les API, les cadres de développement et les pipelines CI/CD
  4. Des protections automatisées et l’élimination des faux positifs grâce à l’IA assistée par l’humain

Les WAF basés sur des équipements, qui s’intègrent à des services de sécurité cloud axés sur les résultats commerciaux, resteront des options viables, voire privilégiées, dans les secteurs hautement réglementés tels que les services bancaires et financiers (BFSI).

Comment évaluer un service WAAP cloud

L’efficacité et la facilité d’utilisation sont généralement mentionnées comme des critères d’achat essentiels pour WAAP.

La meilleure solution WAAP permet aux organisations d’améliorer leur posture de sécurité au rythme de l’entreprise, d’atténuer les compromissions sans friction ni faux positifs excessifs, et de réduire la complexité opérationnelle pour protéger de manière cohérente les architectures multiclouds hybrides contre les vulnérabilités critiques, les abus liés à la logique applicative et les risques imprévus.

Principales fonctionnalités :

  • Observabilité universelle dans une infrastructure cloud native et de l’ensemble de la pile d’applications
  • Découverte et application dynamiques des API
  • Résilience pendant le réoutillage, lʼescalade et lʼévasion de lʼattaquant

Comment fonctionne la Web App and API Protection (WAAP) ?

Les solutions WAAP atténuent les risques de compromission, d’exfiltration de données, de prise de contrôle de comptes et d’interruption des applications en intégrant divers contrôles de sécurité pour protéger les applications, notamment :

  • Pare-feu d’application Web (WAF)
  • Bot Management
  • Sécurité des API
  • Atténuation des attaques de déni de service

Les solutions WAAP sont disponibles sous plusieurs formes :

  1. Équipements WAF physiques/virtuels qui s’intègrent aux services de sécurité cloud
  2. Instances WAF basées sur des microservices qui s’intègrent à des services de sécurité cloud
  3. Plateformes WAAP basées sur le cloud avec contrôles de sécurité WAF, Bot, API et DDoS intégrés

Les solutions WAAP comprennent également une sécurité côté client pour détecter les scripts malveillants et le skimming (comme les attaques Magecart), des contrôles de sécurité pour empêcher les attaques par le biais d’agrégateurs malveillants, et une protection des comptes qui empêche la prise de contrôle par une fraude manuelle.

Les solutions Application Infrastructure Protection (AIP) renforcent la sécurité des applications et améliorent les mesures correctives grâce à la découverte dynamique des vulnérabilités et à la sécurisation des charges de travail cloud, ce qui empêche l’exploitation et l’abus de l’infrastructure sous-jacente grâce à l’intégration des contrôles WAAP.

Comment est-ce que F5 traite la Web App and API Protection (WAAP) ?

Les solutions WAAP F5 s’intègrent en natif à n’importe quelle architecture, cloud et modèle d’exploitation. Elles offrent ainsi aux équipes chargées de la sécurité et de la gestion des risques une visibilité universelle et une application cohérente des politiques, afin de protéger les applications anciennes et modernes, du noyau au cloud et à la périphérie. Les solutions F5 WAAP offrent flexibilité et choix concernant les modèles de déploiement et d’exploitation.

F5 Distributed Cloud WAAP fournit une observabilité inégalée. Combinée à un grand lac de données du monde réel et à des algorithmes d’apprentissage automatique, la solution permet aux clients de F5 d’adopter des services à valeur ajoutée (SVA) optimisés par l’IA, comme l’Authentication Intelligence qui optimise les transactions légitimes des clients en améliorant la personnalisation et en supprimant les frictions pour augmenter la rétention, la conversion et la fidélité.



Figure 3 : Plateforme de Web App and API Protection F5 Distributed Cloud Web