Glosario: Términos y definiciones de ciberseguridad

¿Qué es la Web App and API Protection (WAAP)?

Web App and API Protection (WAAP) se refiere a un conjunto integrado de servicios de seguridad que trabajan juntos para mitigar los riesgos de seguridad de las API y las aplicaciones web.

Significado de WAAP

Las soluciones WAAP protegen contra los riesgos de seguridad de las aplicaciones derivados de los exploits, los bots, los ataques automatizados, la denegación de servicio, el fraude y el abuso, y las integraciones poco seguras de API de terceros.

Los controles de seguridad integrados permiten a las organizaciones mejorar la visibilidad con información útil que puede detener ataques específicos, así como identificar campañas de amenazas coordinadas que abarcan múltiples vectores de amenaza.

Buu Lam ofrece esta lección de Brightboard sobre qué es un WAAP, para qué sirve y cómo aprovecharlo.

¿Qué son las API y las puertas de enlace de API?

Las interfaces de programación de aplicação (API) son la forma más común de conectar usuarios, aplicações y servicios entre sí en un entorno de TI moderno. La mayoría de las aplicaciones modernas se crean utilizando API: interfaces de software que permiten que las aplicações o servicios se comuniquen y posibilitan la interactividad entre productos y servicios en forma de solicitudes y respuestas. Sin embargo, más API significan más superficie de ataque. A medida que las API se vuelven más comunes y se distribuyen en arquitecturas de microservicios, se necesita infraestructura adicional para garantizar la escalabilidad y la seguridad.

Para las aplicações basadas en microservicios, una puerta de enlace API actúa como un único punto de entrada al sistema y es responsable del enrutamiento de solicitudes, la composición y la aplicación de políticas. Maneja algunas solicitudes simplemente enviándolas al servicio backend apropiado, y maneja otras invocando múltiples servicios backend y agregando los resultados.

Las puertas de enlace API también tienen funciones de seguridad integradas para proteger las API de amenazas comunes y también brindan funciones de seguridad críticas, incluida la gestión del control de acceso, la autenticación y la autorización para sus API, lo que garantiza que solo los usuarios autenticados y autorizados puedan acceder a ellas.

Se puede implementar una puerta de enlace API frente a un clúster de Kubernetes como un balanceador de carga (nivel de múltiples clústeres), en su borde como un controlador de ingreso (nivel de clúster) o dentro de él como una malla de servicios (nivel de servicio). Para las implementaciones de API Gateway en el borde y dentro del clúster de Kubernetes, se recomienda utilizar una herramienta nativa de Kubernetes como API Gateway. Estas herramientas están estrechamente integradas con la API de Kubernetes, admiten YAML y se pueden configurar a través de la CLI estándar de Kubernetes.

El uso de una puerta de enlace API junto con una solución WAAP puede proporcionar capas de seguridad adicionales que se complementan entre sí.  Por ejemplo, una puerta de enlace API se centra principalmente en gestionar y proteger el acceso a las API, mientras que una solución WAAP protege las aplicações web y las API de una amplia gama de amenazas de seguridad, incluidas las 10 principales vulnerabilidades de OWASP, ataques DDoS y tráfico de bots, y ofrece funciones avanzadas como inteligencia de amenazas y detección de anomalías basada en el comportamiento.  

¿Por qué es importante usar la Web App and API Protection?

Atraer a los clientes con experiencias digitales atractivas y seguras es un imperativo empresarial y un objetivo clave para los líderes de seguridad y riesgo. El cálculo de riesgo/recompensa que intenta equilibrar la seguridad y la usabilidad nunca ha sido tan difícil, importante o lucrativo como ahora en la economía digital moderna.

Las opciones sin precedentes, la escasa tolerancia de los clientes a las fricciones o los fallos, y las crecientes implicaciones normativas están cambiando la perspectiva de la seguridad, que ha pasado de ser un centro de costes a un diferenciador digital competitivo. Además, las aplicaciones están cada vez más descentralizadas y distribuidas, desplegadas a través de arquitecturas heterogéneas y multinube, e integradas dentro de complejas cadenas de suministro de software y distribuciones CI/CD.

Diagrama WAAP 1

Figura 1: las aplicaciones están cada vez más descentralizadas y distribuidas

La creciente sofisticación de los bots y los ataques automatizados, así como la proliferación de los puntos de conexión de las API debido al aumento del uso de las aplicaciones móviles y el desarrollo de las aplicaciones modernas, amplían drásticamente la superficie de las amenazas e introducen riesgos imprevistos en las integraciones de terceros.

El ciclo de vida de los ataques industrializados comienza con la automatización y termina con la apropiación de cuentas y el fraude.

Diagrama WAAP 1

Figura 2: los ataques a las aplicaciones son persistentes y sofisticados

 

Una solución WAAP representa la evolución del mercado WAF hacia áreas adyacentes, específicamente la gestión de bots , la seguridad de API y la mitigación de DDoS .

Un WAF que se integra con centros de limpieza de DDoS basados en la nube históricamente se calificaba como WAAP, independientemente de si el WAF era un hardware o un dispositivo virtual en un centro de datos, una nube privada o una nube pública. Sin embargo, el mercado está en un punto de inflexión en el que muchas organizaciones preferirán plataformas WAAP basadas en la nube , en forma de seguridad como servicio .

Hay varios factores que están aumentando el interés por las plataformas WAAP basadas en la nube:

  1. La necesidad de una tecnología especializada en la gestión de bots para disuadir el fraude y el abuso
  2. Controles de detección y aplicación de API que puedan mitigar el riesgo de las integraciones de terceros
  3. Mantenimiento continuo de políticas a través de API, marcos de desarrollo y canales de CI/CD
  4. Protecciones automatizadas y remediación de falsos positivos mediante IA de origen humano

Los WAF basados en dispositivos, que se integran con los servicios de seguridad basados en la nube centrados en los resultados empresariales, seguirán siendo opciones viables, incluso preferidas, en sectores muy regulados como el de la banca y los servicios financieros (BFSI).

Cómo evaluar un servicio Cloud WAAP

La efectividad y usabilidad se citan a menudo como criterios clave a la hora de adquirir WAAP.

El mejor WAAP de su clase ayuda a las organizaciones a mejorar su posición de seguridad a la velocidad del negocio, a mitigar los compromisos sin fricción o falsos positivos excesivos, y a reducir la complejidad operativa para proteger de forma consistente las arquitecturas híbridas multinube de las vulnerabilidades críticas, el abuso de la lógica empresarial y los riesgos imprevistos.

Entre las principales capacidades se encuentran:

  • Observabilidad universal en toda la infraestructura nativa de la nube y en toda la pila de aplicaciones
  • Descubrimiento y aplicación de API dinámicas
  • Resistencia durante el reequipamiento, la ampliación y la evasión de los atacantes

¿Cómo funciona la Web App and API Protection?

Las soluciones WAAP mitigan el riesgo de compromiso, la exfiltración de datos, la apropiación de cuentas y el tiempo de inactividad de las aplicaciones mediante la integración de varios controles de seguridad para proteger las aplicaciones, entre ellos:

  • Web Application Firewall (WAF)
  • Bot management
  • API Security
  • Mitigación DDoS

Las soluciones WAAP están disponibles en varios factores de forma:

  1. Dispositivos WAF físicos/virtuales que se integran con servicios de seguridad basados en la nube
  2. Instancias WAF basadas en microservicios que se integran con servicios de seguridad basados en la nube
  3. Plataformas WAAP basadas en la nube con controles de seguridad WAF, Bot, API y DDoS integrados

Las soluciones WAAP también incluyen seguridad del lado del cliente para detectar scripts maliciosos o skimming (como ataques de Magecart ), controles de seguridad para prevenir ataques a través de agregadores maliciosos y protección de cuentas que evita la apropiación de cuentas por fraude manual.

Las soluciones de Application Infrastructure Protection (AIP) refuerzan aún más la seguridad de las aplicaciones y mejoran la corrección mediante el descubrimiento dinámico de vulnerabilidades y la seguridad de las cargas de trabajo en la nube, lo que evita la explotación y el abuso de la infraestructura subyacente mediante la integración con los controles WAAP.

¿Cómo gestiona F5 la protección Web App and API Protection?

Las soluciones F5 WAAP se adaptan de forma nativa a cualquier arquitectura, nube y modelo operativo, proporcionando a los equipos de seguridad y riesgo visibilidad universal y aplicación de políticas consistente para proteger las aplicaciones antiguas y modernas desde el núcleo hasta la nube y el borde. Las soluciones F5 WAAP ofrecen flexibilidad y opciones con respecto al modelo de implementación y el modelo operativo.

F5 Distributed Cloud WAAP ofrece una capacidad de observación incomparable junto con un gran lago de datos del mundo real y algoritmos de aprendizaje automático que permiten a los clientes de F5 adoptar servicios de valor agregado (VAS) basados en IA, por ejemplo, inteligencia de autenticación, que optimiza las transacciones legítimas de los clientes al mejorar la personalización y eliminar la fricción para aumentar la retención, la conversión y la lealtad.

Diagrama WAAP 1

Figura 3: plataforma F5 Distributed Cloud Web App and API Protection

F5 NGINX también ofrece varias opciones para implementar y operar una puerta de enlace API según sus casos de uso y patrones de implementación. Las herramientas universales incluyen F5 NGINX Plus , que se puede implementar como una puerta de enlace API liviana y de alto rendimiento en entornos de nube, locales y de borde.

Las herramientas nativas de Kubernetes incluyen NGINX Ingress Controller , que administra la conectividad de las aplicaciones en el borde de un clúster de Kubernetes con funciones de API gateway, identidad y observabilidad.