La détection et l'application en ligne sont des composants essentiels de F5 Distributed Cloud API Security, améliorant le contrôle du comportement des API, atténuant les activités malveillantes ou indésirables (y compris les menaces automatisées) et empêchant l'exposition de données sensibles.
Détecter les vulnérabilités et mettre en œuvre des protections critiques pour les API, les services qu'elles activent, ainsi que les systèmes et données auxquels elles accèdent.
Dans le paysage numérique actuel, les API constituent l’épine dorsale des applications modernes, permettant l’intégration et l’échange de données entre les services. Alors que les organisations s’appuient de plus en plus sur les API pour améliorer leurs fonctionnalités et fournir des solutions innovantes, le risque associé aux API non protégées a augmenté de façon exponentielle. Les cybercriminels ciblent activement ces points de terminaison, qui permettent des fonctions commerciales critiques et agissent comme des passerelles vers les organisations, exploitant les vulnérabilités pour accéder à des données sensibles, perturber les services, abuser de la logique métier pour commettre des fraudes et exécuter des attaques, notamment par déni de service (DoS), injection et autres menaces.
Pour protéger les actifs numériques et maintenir la confiance des clients, les organisations doivent donner la priorité à la protection des API. La mise en œuvre de mesures de sécurité robustes pour les API permet non seulement d’atténuer les risques liés à une surface de menace croissante, mais également de garantir la conformité dans les secteurs réglementés. La sécurité des API favorise la résilience des services numériques d'une organisation, de son infrastructure et de l'expérience client.
Une solution de sécurité API doit inclure la découverte, la détection des vulnérabilités, la surveillance et l’atténuation en temps réel contre les robots et autres menaces. L’application en ligne est essentielle. Il n’est pas raisonnable d’attendre des organisations qu’elles bloquent le développement et corrigent immédiatement toutes les vulnérabilités du code API, ou qu’elles arrêtent le flux de publication de code jusqu’à ce que le code soit perfectionné. C'est là qu'entrent en jeu les capacités de détection et de protection des API en ligne.
Application en ligne pour contrôler, surveiller et protéger les points de terminaison des API
Une pile de sécurité API robuste repose sur plusieurs couches de mécanismes d’application et de contrôle pour garantir une protection complète. Le Top 10 de la sécurité des API de l'OWASP met en évidence un large éventail de menaces, y compris les vulnérabilités et les risques de sécurité distincts auxquels les API sont confrontées. Cela inclut les attaques qui tentent de divulguer ou d’exfiltrer des données, ou qui consomment ou abusent des ressources (telles que les attaques DoS), ainsi que les tentatives d’injection standard, les lacunes dans l’accès et l’authentification et la mauvaise configuration de la sécurité. Ces exploits et les propriétés uniques des API nécessitent une détection et une protection spécialisées, car ils exposent des points de terminaison critiques qui sont des cibles privilégiées pour les attaques automatisées et les acteurs malveillants, augmentant ainsi le risque d' accès non autorisé aux systèmes critiques et aux données sensibles. Des mécanismes complexes d’authentification et d’autorisation peuvent encore accroître les risques de sécurité s’ils ne sont pas correctement appliqués et surveillés de manière cohérente. De plus, les API gèrent souvent une logique métier dynamique et s’intègrent à des services tiers, ce qui nécessite des mesures de sécurité supplémentaires pour se défendre contre un large éventail de menaces et d’exploits propres aux API.
Avec F5® Distributed Cloud API Security, les organisations ont accès à un ensemble robuste de fonctionnalités d'application visant à maintenir la sécurité de leurs points de terminaison API. Distributed Cloud API Security combine la découverte d'API globale avec la détection en ligne et les capacités d'application de la protection des applications Web et des API (WAAP). Les API sont sensibles aux mêmes types d’attaques par injection que les applications qu’elles prennent en charge, y compris les failles d’injection telles que les injections SQL et de commandes. C'est pourquoi la fonctionnalité traditionnelle de pare-feu application Web (WAF) joue toujours un rôle important dans la protection des applications modernes et des API qui les pilotent. Les services cloud distribués F5 comprennent le WAF principal de F5, équipé d'un moteur de signature d'attaque robuste contenant plus de 8 500 signatures pour les CVE (vulnérabilités et expositions courantes), ainsi que les vulnérabilités et techniques connues identifiées par F5 Labs, constituant ainsi une base solide pour la protection des API contre les menaces reconnues.
Comme tout réseau ou ressource informatique, les API sont susceptibles d’être victimes d’abus et d’attaques DoS. F5 Distributed Cloud Services fournit une protection DoS de couche 7 et des capacités de limitation de débit pour maintenir la disponibilité du service pour les applications Web et les API. Les organisations peuvent contrôler avec précision la connectivité des points de terminaison API et le taux de requêtes, en identifiant, en surveillant et en bloquant entièrement des clients et des connexions spécifiques ou en appliquant des seuils personnalisés. Ce contrôle granulaire des connexions et des demandes d'API peut être appliqué au niveau de l'API individuelle ou sur l'ensemble d'un domaine.
L’atténuation des robots et du trafic automatisé est un élément essentiel de toute stratégie de sécurité des API. Avec les services cloud distribués, les organisations ont accès à F5 Distributed Cloud Bot Defense qui offre une protection robuste contre les menaces automatisées. Les adversaires utilisent des robots pour exploiter directement trois des dix principales vulnérabilités de sécurité des API OWASP : l'authentification rompue, la consommation illimitée de ressources et l'accès illimité aux flux commerciaux sensibles. Les sept autres éléments de la liste des dix principaux, qui incluent des vulnérabilités telles qu’une mauvaise configuration de la sécurité, une mauvaise gestion des stocks et une autorisation rompue, sont indirectement liés aux robots : les attaquants s’appuient sur les robots pour découvrir efficacement et exploiter rapidement ces vulnérabilités. De nombreux points de terminaison d’API (par exemple, pour la connexion, le paiement, la validation de carte de crédit et les réservations) sont particulièrement vulnérables aux robots.
De plus, Distributed Cloud Services offre un apprentissage automatique (ML) avancé et une analyse comportementale pour suivre et surveiller en permanence les points de terminaison des API. Cette fonctionnalité permet aux organisations de comparer le comportement des API, de valider l’état d’authentification et de visualiser l’utilisation des API au fil du temps, simplifiant ainsi la détection des modèles de communication et la corrélation des comportements normaux avec les anomalies. À mesure que les API évoluent, cette approche aide les organisations à identifier et à réagir aux activités suspectes, notamment l’exposition de données sensibles et d’informations personnelles identifiables (PII) dans les communications API.
Les données sensibles sont souvent exposées ou transmises sans le savoir ou par inadvertance au sein des API, ce qui rend essentiel l'identification des points de terminaison des applications Web et des API, où des informations personnelles identifiables et d'autres données sensibles potentielles peuvent être menacées, afin que les données puissent être protégées et que les violations potentielles puissent être évitées. La sécurité des API Cloud distribuées permet aux organisations de prendre le contrôle de leur paysage API, offrant une visibilité sur les données sensibles qui peuvent être exposées via leurs applications Web et leurs API.
Les organisations peuvent facilement configurer des politiques de données sensibles pour découvrir, étiqueter et signaler les données critiques exposées dans leurs API. Cela comprend des politiques de base pour identifier les données PII courantes (y compris les numéros de carte de crédit, les adresses physiques et électroniques et les numéros de téléphone), des cadres de conformité spécifiques qui peuvent être appliqués avec des centaines de types de données prédéfinis pertinents pour plus de 20 cadres de conformité critiques (par exemple, PCI-DSS, HIPAA, GDPR, SOC2, etc.), et même des données sensibles personnalisées propres à des organisations spécifiques. Le service peut découvrir et documenter automatiquement les API d'une organisation directement à partir des référentiels de code et de l'analyse du trafic, offrant une visibilité détaillée sur chaque point de terminaison pour chaque API individuelle.
Les détails des points de terminaison sont fournis par API, offrant des informations essentielles sur les vulnérabilités, classées par gravité. De plus, ces informations essentielles comprennent une description, des preuves et des conseils de remédiation. Agissez rapidement avec de nouvelles règles de protection des API pour limiter ou bloquer les API et les données, ou pour contrôler le comportement des API.
Distributed Cloud API Security propose également un détecteur de données sensibles personnalisé, permettant aux utilisateurs de définir et de rechercher des modèles inhabituels ou uniques qui peuvent indiquer d'autres types de données sensibles dans les requêtes et réponses API. Cette fonctionnalité peut être utilisée pour rechercher des données uniques et spécifiques à l'organisation qui doivent être détectées et protégées, en surveillant en permanence le trafic API pour identifier les fuites accidentelles ou les activités suspectes.
En plus de cette capacité de détection, les services cloud distribués offrent une variété de moyens, notamment le masquage des données sensibles et la détection des fuites, pour aider les organisations à protéger les données sensibles identifiées dans les API. Cela permet aux organisations d'établir des politiques de protection des données API, définissant la manière dont les données sont traitées dans les réponses API pour limiter, bloquer ou masquer. Les politiques qui contrôlent l'exposition et le masquage des données au sein des API peuvent facilement être appliquées à des points de terminaison d'API spécifiques, à un groupe de points de terminaison, à des chemins spécifiques ou à un domaine entier, garantissant que même si un attaquant accède au trafic d'une API donnée, les données sensibles restent sécurisées et incompréhensibles. Outre les capacités de masquage, le service comprend une surveillance continue de toutes les API, avec une analyse de toutes les données transmises pour aider à détecter et signaler les fuites accidentelles ou les activités suspectes dans les réponses des API.
En ce qui concerne la gestion des menaces d'accès et d'autorisation, Distributed Cloud API Security augmente les fonctionnalités de la passerelle API en offrant une visibilité, une surveillance et un contrôle améliorés sur le comportement, l'authentification et l'accès de l'API. Cela aide les organisations à identifier les lacunes d’authentification, à appliquer le contrôle d’accès et à bloquer les tentatives non autorisées d’accès aux API, aux systèmes back-end et aux données sensibles. Le service apprend, modélise et cartographie tous les points de terminaison des applications et des API via une découverte continue, y compris l'état d'authentification. Grâce à l'analyse directe du code et à la découverte basée sur le trafic, il peut également en apprendre davantage sur les types d'authentification et les détails des points de terminaison de l'API et les documenter. En exploitant les fichiers OAS, qu'ils soient appris ou téléchargés, il applique les exigences d'authentification et bloque le trafic non authentifié à la périphérie, réduisant ainsi la dépendance aux passerelles et serveurs API pour le traitement des demandes.
Le service inclut également la fonctionnalité de validation JSON Web Token (JWT), qui permet aux organisations de télécharger des clés d'authentification et de valider les demandes de connexion JWT en périphérie. Cette fonctionnalité élimine la nécessité pour les organisations de stocker les états de session sur le serveur ou de récupérer les informations utilisateur à partir d'une base de données ou d'un cache. En permettant une validation immédiate, il supprime le besoin d'interroger l'origine pour vérification, améliorant ainsi l'évolutivité de l'API et offrant une expérience utilisateur plus rapide.
Les organisations peuvent également exploiter la sécurité des API Cloud distribuées pour appliquer un comportement API approprié basé sur des définitions de schéma valides, à l'aide de fichiers OAS générés ou importés automatiquement. Le service valide les données d'entrée et de sortie par rapport aux caractéristiques API documentées, notamment le type de données, les contraintes de longueur, les caractères autorisés et les plages de valeurs valides, pour garantir la conformité. En surveillant en permanence le trafic API, il permet la validation, le blocage ou la mise en œuvre automatique de règles de protection, permettant un contrôle d'accès granulaire aux points de terminaison API individuels, aux groupes API ou aux chemins de base définis dans un fichier de spécification.
La plate-forme Cloud distribuée évolutive basée sur SaaS de F5 offre des capacités de protection API avancées ainsi que des fonctionnalités WAAP complémentaires. Distributed Cloud API Security fournit plusieurs couches de protection pour les API, permettant aux organisations de détecter et de répondre rapidement aux vulnérabilités, aux attaques suspectées et aux abus. Cette solution simplifie le déploiement et la gestion des contrôles de sécurité essentiels des API, protégeant l'ensemble de l'écosystème d'une application, y compris le nombre croissant d'API, au sein d'une console unifiée qui offre une visibilité et une gestion centralisées.
Conclusion
À mesure que les organisations adoptent des applications modernes alimentées par des API, elles exposent davantage de points de terminaison, ce qui accroît leur vulnérabilité aux cybermenaces et souligne la nécessité d’une protection robuste des API. Les API servent de canaux essentiels pour l’échange de données, l’activation des services et l’exécution des transactions, ce qui en fait des cibles de choix pour les cybercriminels. Alors que les organisations s’appuient de plus en plus sur les API pour améliorer leurs fonctionnalités et rationaliser leurs opérations, les risques associés aux API non protégées ont augmenté. Les vulnérabilités peuvent entraîner des accès non autorisé, des violations de données et des interruptions de service, compromettant en fin de compte des informations sensibles et portant atteinte à la confiance des clients. En raison de la complexité des mécanismes d’authentification et de la nature dynamique des API, les mesures de sécurité traditionnelles s’avèrent souvent insuffisantes, nécessitant des protections spécialisées.
C'est exactement ce qu'offre Distributed Cloud API Security : la plate-forme et les outils dont les organisations ont besoin pour mettre en œuvre une protection API robuste afin d'atténuer ces risques et de favoriser la résilience au sein de leur infrastructure et de leur écosystème numériques modernes. En donnant la priorité à la protection des API, les entreprises peuvent mieux se défendre contre les menaces en constante évolution, garantir l'intégrité de leurs services et de leurs données et maintenir la conformité avec les réglementations du secteur sans impacter le rythme de l'innovation, libérant ainsi en toute sécurité tout le potentiel de leurs nouvelles applications modernes dans un écosystème numérique en évolution rapide.
En privilégiant la protection des API, les entreprises peuvent mieux se défendre contre les menaces en constante évolution, garantir l'intégrité de leurs services et de leurs données, et maintenir leur conformité aux réglementations du secteur sans impacter le rythme de l'innovation.
Prochaines étapes
PRINCIPAUX AVANTAGES
Réduire l'exposition aux vulnérabilités des API
Application et contrôle en ligne, y compris des capacités de sécurité positives, pour répondre aux attaques et autres exploits d'API en temps réel, minimisant ainsi les dommages potentiels causés par les menaces dans le Top 10 de la sécurité des API OWASP.
Empêchez les accès non autorisé et limitez la perte de données
Obtenez une vision plus approfondie de l'utilisation des API et de l'exposition des données sensibles, y compris les informations personnelles identifiables (PII), avec des fonctionnalités permettant de masquer, de restreindre ou d'empêcher les API d'exposer des données critiques.
Surveillez les points de terminaison de l'API et améliorez la visibilité
Surveillez en permanence les points de terminaison de l'API à partir d'une console centralisée, en détectant les activités anormales et malveillantes pour améliorer les stratégies de réponse, optimiser les contrôles et renforcer les politiques de protection de l'API.
Appliquez facilement une protection cohérente et une gestion des politiques
Gérez la sécurité des API à partir d'un point unique avec un ensemble commun de mécanismes de contrôle, simplifiant ainsi la mise en œuvre des politiques et garantissant une protection cohérente sur toutes les API.
Caractéristiques principales
Assurer une protection complète de l'exécution
Combine les capacités de sécurité des applications et des API en ligne avec un pare-feu application Web (WAF) et des protections de défense contre les robots, en exploitant des signaux riches côté client et l'apprentissage automatique (ML) pour garantir une efficacité maximale et des faux positifs proches de zéro.
Protégez vos données sensibles
Masque les données sensibles exposées via les requêtes API, y compris les règles de protection des API, en limitant la transmission de données ou en bloquant complètement les points de terminaison API qui exposent toute forme de données.
Appliquer une sécurité API positive
Fournit automatiquement un modèle de sécurité positif à l'aide de fichiers de spécification OpenAPI (OAS) appris, générés automatiquement ou existants pour appliquer le comportement d'API souhaité via des détails de point de terminaison, de paramètre, de méthode, d'authentification et de charge utile valides.
Effectuer des analyses comportementales et la détection d'anomalies
Exploite l'analyse basée sur le ML pour identifier les points de terminaison d'API les plus fréquemment utilisés et attaqués, évaluer les modèles d'utilisation, y compris les anomalies comportementales, et identifier les données sensibles exposées.
Mettre en œuvre la détection des menaces et l'évaluation des risques en temps réel
Identifie les API les plus fréquemment ciblées et les points de terminaison à haut risque en identifiant l'état d'authentification, l'exposition aux données sensibles et les anomalies comportementales, en utilisant une inspection continue du trafic, une surveillance des menaces et une identification des vulnérabilités.