BLOG

F5 se déplace vers la gauche pour protéger les API

Miniature de Chuck Herrin
Chuck Herrin
Publié le 07 février 2024

Les interfaces de programmation d’applications (API) sont le système nerveux central caché de notre vie numérique moderne. Chaque jour, toute la journée, les API alimentent les applications que nous utilisons pour acheter notre premier café dans notre magasin préféré, nous enregistrer à la porte du bureau, prendre un covoiturage pour déjeuner avec un collègue, vérifier la météo et enfin nous asseoir à la fin d'une longue journée pour regarder une émission de télévision bien-aimée. Presque toutes les organisations avec lesquelles nous interagissons chaque jour s’appuient sur des API pour piloter leurs activités numériques, qu’elles le pensent de cette façon ou non.

L’essor du développement et de la diffusion de logiciels basés sur les API a changé le monde pour le mieux, de multiples façons. Mais il y a un problème : lorsque vos applications et vos architectures changent, votre surface d’attaque change également. Les mesures de sécurité traditionnelles telles que le WAF, le DDoS et la protection contre les robots restent essentielles, mais elles ne parviennent pas à protéger pleinement ces API. Ils ont été conçus pour les surfaces d’attaque de l’époque, incapables de prédire la surface d’attaque future et les changements apportés par l’adoption rapide des API au cours des dernières années.

En tant que leader mondial de la sécurité des applications et des API, la technologie F5 se trouve dans le chemin de données de près de la moitié des applications mondiales, offrant une ligne de vue unique sur les attaques sur les applications Web et mobiles modernes. Notre analyse montre qu’aujourd’hui, plus de 90 % des cyberattaques basées sur le Web ciblent les points de terminaison des API, tentant d’exploiter des vulnérabilités plus récentes et moins connues, souvent exposées par des API qui ne sont pas activement surveillées par les équipes de sécurité.

À mesure que les attaques et les surfaces d’attaque changent, votre défense doit également s’adapter. L’accent actuel mis par l’industrie sur l’IA générative stimule également une croissance rapide du volume d’applications et d’API pour prendre en charge les modèles d’intelligence artificielle et d’apprentissage automatique (IA/ML), ajoutant ainsi encore plus de complexité. Les entreprises modernes ont besoin d’une stratégie de défense dynamique, axée sur la découverte et l’atténuation des risques avant qu’ils ne se transforment en violations coûteuses, embarrassantes et souvent évitables.

Le rythme de ces changements rapides a fait de la sécurisation des API critiques un défi majeur pour les organisations de tous types. Les équipes de développeurs et de défenseurs déjà surchargées ne savent souvent même pas combien d’API leurs entreprises utilisent, où elles se trouvent, ni la conformité et les autres risques associés aux données critiques et aux processus commerciaux que ces interfaces prennent en charge.

Alors que la technologie est en constante évolution, le phénomène de sécurité des API souligne les principes fondamentaux de la cybersécurité. Il y a une raison pour laquelle les principaux cadres de contrôle comme le NIST commencent presque toujours par « Identifier » en premier. En termes simples, vous ne pouvez pas protéger ce que vous ne pouvez pas voir, et il est impossible de gérer efficacement le risque d’une surface d’attaque que vous ne comprenez pas.

Crédit: N. Hanacek/NIST

Les angles morts des API sont devenus un problème fondamental, et beaucoup trop d’organisations naviguent aujourd’hui à l’aveugle en ce qui concerne leurs API. Gartner et d’autres analystes du secteur prédisent depuis au moins 2019 que les API deviendraient le vecteur d’attaque n°1, et nos données soutiennent cette affirmation, sans aucun signe de ralentissement.

L’industrie de la cybersécurité a réagi, jusqu’à présent principalement avec des solutions ponctuelles axées sur un aspect ou un autre du développement d’API. Ces produits offrent des fonctionnalités diverses mais limitées, telles que la découverte d’API pour trouver les API connues pour être utilisées, ou des outils d’analyse et de test pour aider à trouver des vulnérabilités et tenter de combler ces lacunes.

Mais l’avenir de la sécurité des API ne se résume pas à un ensemble de solutions ponctuelles que vous devez assembler et essayer d’intégrer vous-même. Entrez F5 Services Cloud distribués .

Pour construire l’avenir de votre entreprise, vous devez l’équiper pour l’avenir.

Les leaders du secteur de l'informatique distribuée et de la sécurité des applications chez F5 ont vu venir cet accent essentiel sur les API et ont commencé il y a 5 ans à créer une suite de fonctionnalités révolutionnaires mises sur le marché sous le nom de F5 Distributed Cloud Services.

Les applications actuelles basées sur l'IA s'appuient sur un ensemble distribué de sources de données, de modèles et de services répartis sur des déploiements sur site, dans le cloud et en périphérie, reliés entre eux par un nombre croissant d'API. Pour aider les clients à naviguer dans ces défis et opportunités étroitement liés, nous sommes heureux d' annoncer que F5 apporte des tests de code API avancés et une analyse de télémétrie à F5 Distributed Cloud Services, créant ainsi la solution de sécurité API la plus complète et la plus prête pour l'IA du secteur. L'ajout de fonctionnalités récemment acquises auprès de l'innovateur en matière de sécurité des API Wib permet la détection des vulnérabilités et l'observabilité dans les processus de développement d'applications, l'identification des risques et la mise en œuvre de politiques avant que les API n'entrent en production.

Tout comme l'avenir de la sécurité des API, la plateforme cloud distribuée F5 est conçue pour l'avenir de l'informatique d'entreprise, partageant ces attributs essentiels :

  • Multicloud
  • API d'abord
  • Propulsé par l'IA

Rendre le meilleur encore meilleur

F5 a déjà proposé une découverte et une protection d'API robustes dans la suite F5 Distributed Cloud de services de protection d'applications Web et d'API ( WAAP ). La plateforme crée et valide automatiquement des schémas robustes pour les API, éclaire les risques liés aux API avec des informations exploitables, exploite l'IA/ML pour atténuer les attaques API complexes, et bien plus encore. Avec Distributed Cloud WAAP, ainsi que NGINX App Protect et BIG-IP Advanced WAF, F5 offre aux clients la capacité unique de sécuriser n'importe quelle application et n'importe quelle API, n'importe où.

Et maintenant, F5 se déplace vers la gauche, pour aborder le cycle de vie complet de l'API.

La combinaison de la plateforme Wib avec F5 Distributed Cloud API Security fournit la solution de sécurité API la plus complète du secteur.

Pour y parvenir, nous augmentons les capacités actuelles de découverte et de protection des API avec :

  • Analyse de code API pour découvrir les points de terminaison API et évaluer leurs risques avant leur déploiement en production.
  • Tests d'API pour sonder les vulnérabilités et valider les menaces suspectes détectées dans le code et l'analyse du trafic.
  • Analyse de conformité des API pour garantir une posture de sécurité des API appropriée, alignée sur les exigences réglementaires du client.
  • Évaluation de la surface des menaces API pour surveiller les actifs publics d'une organisation pour l'émergence de nouvelles API et pour celles qui sont en dehors de la gouvernance de sécurité.
  • Moteur de fusion de sécurité API pour créer une solution parfaitement intégrée où chaque menace, vulnérabilité ou information est validée sur toutes les sources d'informations.


En tant qu'ancien directeur technique de Wib et nouveau membre de F5, je partage l'enthousiasme de l'équipe à l'idée d'apporter les capacités de Wib aux services cloud distribués de F5, et nous travaillons déjà dur à l'intégration de notre technologie pour fournir la plate-forme de sécurité API la plus robuste et la plus complète que le monde ait jamais vue.

Rejoignez-nous pour sécuriser vos applications et API avec la première solution de sécurité holistique au monde pour les applications et les API, avec une véritable visibilité et sécurité du code au cloud.

Courez partout, en toute sécurité partout, uniquement avec F5.