BLOG

F5 se desplaza a la izquierda para proteger las API

Miniatura de Chuck Herrin
Chuck Herrin
Publicado el 7 de febrero de 2024

Las interfaces de programación de aplicação (API) son el sistema nervioso central oculto de nuestras vidas digitales modernas. Todos los días, durante todo el día, las API impulsan las aplicaciones que usamos para comprar nuestro primer café en nuestra tienda favorita, ingresar a la oficina con nuestra credencial, tomar un viaje compartido para almorzar con un colega, consultar el clima y, finalmente, sentarnos al final de un largo día para ver en streaming nuestro programa de televisión favorito. Casi todas las organizaciones con las que interactuamos cada día dependen de las API para impulsar su negocio digital, ya sea que lo piensen de esa manera o no.

El auge del desarrollo y la entrega de software basado en API ha cambiado el mundo para mejor, de innumerables maneras. Pero hay un problema: cuando sus aplicações y arquitecturas cambian, también lo hace su superficie de ataque. Las medidas de seguridad tradicionales como WAF, DDoS y protección contra bots siguen siendo esenciales, pero no son suficientes para proteger completamente estas API. Fueron diseñados para las superficies de ataque del momento, incapaces de predecir la superficie de ataque futura y los cambios provocados por la rápida adopción de API en los últimos años.

Como líder mundial en seguridad de aplicação y API, la tecnología de F5 se encuentra en la ruta de datos de casi la mitad de las aplicações del mundo, proporcionando una línea de visión única hacia los ataques a las aplicações web y móviles modernas. Nuestro análisis muestra que hoy en día más del 90% de los ciberataques basados en la web tienen como objetivo puntos finales de API, intentando explotar vulnerabilidades más nuevas y menos comprendidas, a menudo expuestas por API que no son monitoreadas activamente por los equipos de seguridad.

A medida que los ataques y las superficies de ataque cambian, tu defensa también debe adaptarse. El enfoque actual de la industria en la IA generativa también está impulsando un rápido crecimiento en el volumen de aplicaciones y API para respaldar modelos de inteligencia artificial y aprendizaje automático (IA/ML), lo que agrega aún más complejidad. Las empresas modernas necesitan una estrategia de defensa dinámica, centrada en descubrir y mitigar los riesgos antes de que se conviertan en infracciones costosas, embarazosas y, a menudo, evitables.

El ritmo de estos cambios rápidos ha hecho que proteger las API críticas sea un desafío importante para organizaciones de todo tipo. Los equipos de desarrolladores y defensores, que ya están sobrecargados, a menudo ni siquiera saben cuántas API usan sus empresas, dónde están y los riesgos de cumplimiento y de otro tipo asociados con los datos críticos y los procesos comerciales que estas interfaces respaldan.

Si bien la tecnología está en constante cambio, el fenómeno de la seguridad API subraya los principios fundamentales de la ciberseguridad. Hay una razón por la que los principales marcos de control como NIST casi siempre comienzan con “Identificar” primero. En pocas palabras, no se puede proteger lo que no se puede ver, y es imposible gestionar eficazmente el riesgo de una superficie de ataque que no se comprende.

Crédito: N. Hanácek/NIST

Los puntos ciegos de las API se han convertido en un problema fundamental y hoy en día demasiadas organizaciones actúan a ciegas cuando se trata de sus API. Gartner y otros analistas de la industria han estado prediciendo desde al menos 2019 que las API se convertirían en el vector de ataque número 1, y nuestros datos respaldan esa afirmación, sin señales de desaceleración.

La industria de la ciberseguridad ha respondido, hasta ahora principalmente con soluciones puntuales orientadas a un aspecto u otro del desarrollo de API. Estos productos ofrecen capacidades diversas pero limitadas, como el descubrimiento de API para encontrar API que se sabe que están en uso, o herramientas de escaneo y prueba para ayudar a encontrar vulnerabilidades e intentar cerrar estas brechas.

Pero el futuro de la seguridad de las API no es un conjunto de soluciones puntuales que usted debe juntar e intentar integrar. Ingresa a F5 Distributed Cloud Services .

Para construir el futuro de su empresa, debe prepararla para el futuro.

Los líderes de la industria en informática distribuida y seguridad de aplicação de F5 vieron venir este énfasis esencial en las API y hace cinco años comenzaron a desarrollar un conjunto de capacidades innovadoras que se lanzaron al mercado como F5 Distributed Cloud Services.

Las aplicaciones actuales impulsadas por IA se basan en una disposición distribuida de fuentes de datos, modelos y servicios en implementaciones locales, en la nube y en el borde, unidas por un número cada vez mayor de API. Para ayudar a los clientes a navegar estos desafíos y oportunidades entrelazados, nos complace anunciar que F5 está incorporando pruebas de código API avanzadas y análisis de telemetría a F5 Distributed Cloud Services, creando la solución de seguridad de API más completa y preparada para IA de la industria. La incorporación de capacidades recientemente adquiridas del innovador en seguridad API Wib permite la detección y observabilidad de vulnerabilidades en los procesos de desarrollo de aplicação , identificando riesgos e implementando políticas antes de que las API entren en producción.

Al igual que el futuro de la seguridad de las API, la plataforma de nube distribuida F5 está diseñada para el futuro de toda la informática empresarial y comparte estos atributos esenciales:

  • Multinube
  • API primero
  • Desarrollado con IA

Haciendo lo mejor aún mejor

F5 ya ha ofrecido un sólido descubrimiento y protección de API en el conjunto de servicios de protección de API y aplicaciones web ( WAAP ) de F5 Distributed Cloud. La plataforma crea y valida automáticamente esquemas sólidos para API, ilumina los riesgos de las API con información procesable, aprovecha IA/ML para mitigar ataques complejos a las API y más. Con Distributed Cloud WAAP, junto con NGINX App Protect y BIG-IP Advanced WAF, F5 brinda a los clientes la capacidad única de proteger cualquier aplicación y cualquier API, en cualquier lugar.

Y ahora F5 se está desplazando hacia la izquierda para abordar el ciclo de vida completo de la API.

La combinación de la plataforma Wib con F5 Distributed Cloud API Security proporciona la solución de seguridad de API más completa de la industria.

Para lograrlo, estamos aumentando las capacidades actuales de descubrimiento y protección de API con:

  • Análisis de código API para descubrir puntos finales de API y evaluar sus riesgos antes de que se implementen en producción.
  • Pruebas de API para investigar vulnerabilidades y validar amenazas sospechosas detectadas en el análisis de código y tráfico.
  • Análisis de cumplimiento de API para garantizar una postura de seguridad de API adecuada alineada con los requisitos regulatorios del cliente.
  • Evaluación de la superficie de amenaza de la API para monitorear los activos públicos de una organización para detectar el surgimiento de nuevas API y aquellas que están fuera de la gobernanza de seguridad.
  • Motor de fusión de seguridad API para crear una solución perfectamente integrada donde cada amenaza, vulnerabilidad o información se valida en todas las fuentes de información.


Como exdirector de tecnología de Wib y recién incorporado a F5, comparto el entusiasmo del equipo por incorporar las capacidades de Wib a F5 Distributed Cloud Services. Ya estamos trabajando arduamente para integrar nuestra tecnología y ofrecer la plataforma de seguridad de API más robusta y completa jamás vista.

Únase a nosotros para proteger sus aplicaciones y API con la primera solución de seguridad integral de aplicaciones y API del mundo, con verdadera visibilidad y seguridad desde el código hasta la nube.

Ejecútelo en cualquier lugar y asegure todo, solo con F5.