La prolifération des API à partir d'un tissu de points de terminaison et d'intégrations en constante expansion rend difficile pour les équipes de sécurité d'identifier et de protéger la logique métier critique à l'aide de méthodes manuelles. Les API sont de plus en plus distribuées sur des infrastructures hétérogènes, y compris des environnements hybrides et multi-cloud, ce qui expose la logique métier critique en dehors du domaine des contrôles de sécurité centralisés. De plus, étant donné que les équipes de développement d’applications innovent rapidement, les appels d’API peuvent se retrouver profondément cachés dans la logique métier, ce qui les rend difficiles à identifier.  

Avec une telle importance accordée à la rapidité de l’innovation, la sécurité est souvent laissée pour compte. Parfois, la sécurité est tout simplement négligée dans la conception des API elles-mêmes. La sécurité est souvent prise en compte, mais la politique est mal configurée en raison de la complexité nuancée de la maintenance des déploiements d'applications qui s'étendent sur plusieurs cloud et architectures. 

Étant donné que les API sont conçues pour l'échange de données de machine à machine, de nombreuses API représentent un chemin direct vers des données sensibles, souvent sans les mêmes contrôles de risque que la validation des entrées sur les formulaires Web destinés aux utilisateurs. Pourtant, ces points de terminaison sont soumis aux mêmes attaques qui ravagent les applications Web : à savoir les exploits de vulnérabilité, les abus de logique métier et le contournement des contrôles d'accès qui peuvent entraîner des violations de données, des temps d'arrêt et des piratages de comptes (ATO).

Non seulement les points de terminaison des API doivent être évalués avec les mêmes contrôles de risque que les applications Web, mais des considérations supplémentaires sont nécessaires pour atténuer les risques involontaires liés aux points de terminaison qui ne relèvent pas de la compétence des équipes de sécurité ou qui ont été essentiellement abandonnés, comme c'est le cas des API fantômes et zombies. . 

Étant donné que les API sont sensibles à bon nombre des mêmes attaques que celles connues pour cibler les applications Web, les incidents de sécurité des API ont été à l'origine de certaines des violations de données les plus médiatisées. Des risques tels que des contrôles d'authentification/autorisation faibles, une mauvaise configuration, un abus de logique métier et la falsification de requêtes côté serveur (SSRF) ont un impact à la fois sur les applications Web et les API. Les exploits de vulnérabilités, les abus des robots et l'automatisation malveillante sont les principales préoccupations :

• L'injection et le cross-site scripting (XSS) peuvent conduire à un accès non autorisé aux données.
• Le déni de service distribué (DDoS) peut perturber les services critiques générant des revenus.
• Le credential stuffing et d'autres attaques automatisées peuvent entraîner des compromission, des violations de données et des fraudes.

Les applications ont évolué vers un modèle de plus en plus distribué et décentralisé, avec les API servant d'interconnexion. Les applications mobiles et les intégrations tierces qui augmentent la valeur commerciale sont devenues des enjeux incontournables pour réussir à rivaliser dans un monde en ligne. Les recherches de F5 Labs expliquent comment les API constituent une cible croissante à mesure que de plus en plus d'industries adoptent des architectures d'applications modernes, en partie parce que les API sont plus structurées et plus faciles à utiliser pour les attaquants.

Le risque augmente lorsque les API sont largement distribuées sans stratégie de gouvernance holistique. Ce risque est exacerbé par un processus continu de cycle de vie des applications dans lequel les applications et les API évoluent constamment au fil du temps en raison de l'intégration avec des chaînes d'approvisionnement complexes et de l'automatisation via les pipelines CI/CD.

La variété des interfaces et l’exposition potentielle aux risques signifient que les équipes de sécurité doivent protéger la porte d’entrée ainsi que toutes les fenêtres qui représentent les éléments constitutifs des applications modernes.

Les progrès de l'apprentissage automatique permettent de découvrir dynamiquement les points de terminaison des API et de cartographier automatiquement leurs interdépendances, offrant ainsi un moyen pratique d'analyser les modèles de communication des API au fil du temps et d'identifier les API fantômes ou non documentées qui augmentent les risques. 

De plus, la surveillance et l'analyse continues des points finaux permettent de construire des bases de sécurité de manière autonome, permettant une détection en temps réel, une évaluation automatisée des risques et une atténuation des utilisateurs malveillants sans augmenter inutilement la charge de travail de votre équipe de sécurité.

Cette protection continue et automatisée se traduit par des politiques hautement calibrées qui peuvent être appliquées de manière cohérente dans toutes les architectures pour toutes les API : atténuant les exploits, dissuadant les robots et les abus, et appliquant la conformité des schémas, des protocoles et du contrôle d'accès.

Les entreprises doivent moderniser leurs applications existantes tout en développant simultanément de nouvelles expériences utilisateur en tirant parti d'architectures modernes et d'intégrations tierces. Une stratégie de gouvernance holistique qui protège les API du cœur jusqu'au cloud jusqu'à la périphérie soutient la transformation numérique tout en réduisant les risques connus et inconnus.

Les solutions F5 offrent la flexibilité nécessaire pour fonctionner dans n’importe quel environnement. La visibilité universelle et les protections automatisées basées sur le ML maximisent l’efficacité et déchargent les équipes de sécurité. F5 peut consolider des solutions pure-play/de niche et sécuriser de manière cohérente les environnements hybrides et multi-cloud pour améliorer la résilience et la remédiation.

Les principales considérations liées au déploiement de la sécurité des API incluent :

1. Prise en charge hybride et multicloud
   La visibilité universelle et l'application cohérente des politiques réduisent la complexité, la prolifération des outils et le risque de mauvaise configuration, et accélèrent la correction.
   
   
2. Intégration avec les processus de développement existants
   Les équipes de sécurité peuvent suivre le rythme du cycle de vie des applications en intégrant la politique de sécurité dans les pipelines CI/CD via un registre Terraform natif.
   
   
3. Modèle de sécurité positif
   Les solutions F5 rationalisent la politique avec un modèle de sécurité positif qui applique le schéma à l'aide des définitions OpenAPI, des fichiers Swagger et des principes de confiance zéro.
   
   
4. Défenses automatisées
   La détection des anomalies basée sur le ML corrige les exploits de vulnérabilité, les abus de logique métier et les déni de service sans surcharger les équipes de sécurité avec l'ajustement des politiques dans les environnements. ou des faux positifs excessifs.
   
   
5. Des visualisations riches
   Des tableaux de bord de sécurité avec prise en charge détaillée des références d'utilisation des API aident les opérateurs à corréler les informations et à simplifier la réponse aux incidents.


6. Résilience de la sécurité
   Une télémétrie durable et un apprentissage automatique hautement qualifié permettent une sécurité plus efficace et efficiente qui suit le rythme de l'activité numérique et atténue l'émergence de l'IA adverse. attaques.

Les solutions F5 protègent les API de l'ensemble du portefeuille de l'entreprise en découvrant et en protégeant automatiquement la logique métier critique et les intégrations tierces dans les cloud et les architectures. 

Une politique de sécurité complète et cohérente, associée à des défenses résilientes basées sur le ML, permet aux organisations d'aligner la sécurité des API sur leur stratégie numérique. Cela permet aux entreprises d'améliorer la gestion des risques, d'innover en toute confiance et de rationaliser leurs opérations.

See Le cloud distribué F5 en action.