La prolifération des API provenant d'un tissu en constante expansion de points de terminaison et d'intégrations rend difficile pour les équipes de sécurité d'identifier et de protéger la logique métier critique à l'aide de méthodes manuelles. Les API sont de plus en plus distribuées sur des infrastructures hétérogènes, notamment des environnements hybrides et multicloud qui exploitent des centres de données, des clouds publics et des sites périphériques, ce qui entraîne l’exposition d’une logique métier critique en dehors du domaine des contrôles de sécurité centralisés. De plus, comme les équipes de développement d’applications réagissent rapidement pour innover, les appels d’API peuvent finir par être cachés au plus profond de la logique métier et référencer du code non sécurisé, ce qui les rend difficiles à protéger. 

Avec une telle importance accordée à la vitesse de l’innovation, la sécurité est souvent laissée de côté. Parfois, la sécurité est tout simplement négligée dans la conception des API elles-mêmes. Souvent, la sécurité est prise en compte, mais la politique devient mal configurée en raison de la complexité nuancée de la maintenance des déploiements d'applications qui s'étendent sur plusieurs clouds et architectures. 

Étant donné que les API sont conçues pour l’échange de données de machine à machine, de nombreuses API représentent une voie directe vers des données sensibles, souvent sans les mêmes contrôles de risque que la validation des entrées sur les formulaires Web destinés aux utilisateurs. Pourtant, ces points de terminaison sont soumis aux mêmes attaques qui affectent les applications Web : à savoir les exploitations de vulnérabilités, les abus de logique métier et le contournement des contrôles d'accès qui peuvent conduire à une violation de données, à des temps d'arrêt et à une prise de contrôle de compte (ATO).

Non seulement les points de terminaison d'API doivent être évalués avec les mêmes contrôles de risque que les applications Web (y compris l'analyse de code, les tests de pénétration et la modélisation des menaces pour atténuer le risque d'attaques de logique métier), mais des considérations supplémentaires sont nécessaires pour atténuer les risques involontaires liés aux points de terminaison qui sont hors de portée des équipes de sécurité ou qui ont été essentiellement abandonnés, comme c'est le cas avec les API fantômes et zombies.

Étant donné que les API sont exposées à de nombreuses attaques similaires à celles qui ciblent les applications Web, les incidents de sécurité des API ont été la cause de certaines des violations de données les plus médiatisées. Des risques tels que des contrôles d’authentification/autorisation faibles, une mauvaise configuration, un abus de logique métier et la falsification de requêtes côté serveur (SSRF) ont un impact sur les applications Web et les API. Les exploitations de vulnérabilités et les abus des robots et des automatisations malveillantes sont les principales préoccupations :

• L'injection et le cross-site scripting (XSS) peuvent conduire à un accès non autorisé aux données.
• Le déni de service distribué (DDoS) peut perturber des services critiques générateurs de revenus.
• Le bourrage d'informations d'identification et d'autres attaques automatisées peuvent entraîner des compromissions, des violations de données et des fraudes.

Les applications ont évolué vers un modèle de plus en plus distribué et décentralisé, les API servant d’interconnexion. Les applications mobiles et les intégrations tierces qui augmentent la valeur commerciale sont devenues des enjeux de base pour réussir à rivaliser dans un monde en ligne. Les recherches de F5 Labs détaillent comment les API sont une cible croissante à mesure que de plus en plus d'industries adoptent des architectures d'application modernes, en partie parce que les API sont plus structurées et plus faciles à utiliser pour les attaquants.

Le risque augmente lorsque les API sont largement distribuées sans stratégie de gouvernance holistique. Ce risque est exacerbé par un processus de cycle de vie continu des applications où les applications et les API changent constamment au fil du temps en raison de l’intégration avec des chaînes d’approvisionnement complexes et de l’automatisation via des pipelines CI/CD.

La diversité des interfaces et l’exposition potentielle aux risques signifient que les équipes de sécurité doivent protéger la porte d’entrée ainsi que toutes les fenêtres qui représentent les éléments constitutifs des applications modernes et d’IA, de manière proactive, dynamique et continue.

Les progrès de l’apprentissage automatique permettent de découvrir de manière dynamique les points de terminaison des API et de cartographier automatiquement leurs interdépendances, à la fois lors des tests et en production, offrant ainsi un moyen pratique d’analyser les modèles de communication des API au fil du temps et d’identifier les API fantômes ou non documentées qui augmentent les risques. 

De plus, la surveillance et l'analyse continues des points de terminaison permettent de construire des lignes de base de sécurité de manière autonome, permettant une détection en temps réel, une notation automatisée des risques et une atténuation des utilisateurs malveillants sans augmentation inutile de la charge de travail de votre équipe de sécurité.

Cette protection continue et automatisée génère des politiques hautement calibrées qui peuvent être appliquées de manière cohérente sur toutes les architectures, pour toutes les API, à toutes les étapes du cycle de vie du développement logiciel, atténuant ainsi les exploits, dissuadant les attaques de logique métier et appliquant le schéma, la conformité du protocole et le contrôle d'accès.

Les entreprises doivent moderniser leurs applications existantes tout en développant simultanément de nouvelles expériences utilisateur en tirant parti d’architectures modernes et d’intégrations tierces. Une stratégie de gouvernance holistique qui protège les API du cœur au cloud jusqu'à la périphérie prend en charge la transformation numérique tout en réduisant les risques connus et inconnus.

Les solutions F5 offrent la flexibilité nécessaire pour fonctionner dans n’importe quel environnement. La visibilité universelle et les protections automatisées basées sur le ML maximisent l'efficacité et soulagent les équipes de sécurité. F5 peut consolider des solutions pure-play/de niche et sécuriser de manière cohérente les environnements hybrides et multicloud pour améliorer la résilience et la correction.

Les principales considérations pour le déploiement de la sécurité des API incluent :

1. Prise en charge hybride et multicloud
   La visibilité universelle et l’application cohérente des politiques réduisent la complexité, la prolifération des outils et le risque de mauvaise configuration, et augmentent la vitesse de correction.
   
   
2. Intégration avec les processus de développement existants
   Les équipes de sécurité peuvent suivre le rythme du cycle de vie des applications en découvrant de manière proactive les risques lors des tests et en intégrant la politique de sécurité dans les pipelines CI/CD via un registre Terraform natif.
   
   
3. Modèle de sécurité positive
   Les solutions F5 rationalisent les politiques avec un modèle de sécurité positif qui applique le schéma à l'aide de définitions OpenAPI, de fichiers Swagger et de principes de confiance zéro.
   
   
4. Défenses automatisées
   La détection d'anomalies basée sur le ML corrige les exploits de vulnérabilité, les abus de logique métier et les dénis de service sans surcharger les équipes de sécurité avec le réglage des politiques dans les environnements ou des faux positifs excessifs.
   
   
5. Visualisations riches
   Les tableaux de bord de sécurité avec prise en charge détaillée des références d'utilisation des API aident les opérateurs à corréler les informations et à simplifier la réponse aux incidents.


6. Résilience en matière de sécurité
   Une télémétrie durable et un apprentissage automatique hautement qualifié permettent une sécurité plus efficace et plus efficiente qui suit le rythme des activités numériques et atténue les attaques d'IA adverses émergentes.

Les solutions F5 protègent les API de l'ensemble du portefeuille de l'entreprise en détectant en permanence et en protégeant automatiquement la logique métier critique et les intégrations tierces dans les clouds et les architectures. 

Une politique de sécurité complète et cohérente, associée à des défenses résilientes basées sur le ML, permet aux organisations d'aligner la sécurité des API sur la stratégie numérique. Cela permet aux entreprises d’améliorer la gestion des risques, d’innover en toute confiance et de rationaliser leurs opérations.

Découvrez F5 Distributed Cloud en action .